[原创]进程替换-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]进程替换

发表于: 2012-7-17 00:19 58660

[原创]进程替换

wmbol

2012-7-17 00:19

58660

查看主题内容

收藏・223

免费・8

支持

最新回复 (96) ◀ 1 2 3 4 ▶
xdklzy 雪币： 208 活跃值： (148) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	xdklzy 1 26 楼 SetThreadContext不被杀就牛B了 2012-7-20 19:43 0
wpm 雪币： 1248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wpm 27 楼围观一众大牛 2012-7-23 09:23 0
pady 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pady 28 楼学习思路，能否被干掉先不说。 2012-7-23 16:07 0
ctaotao 雪币： 324 活跃值： (113) 能力值： ( LV15，RANK：280 ) 在线值：发帖 20 回帖 102 粉丝 3 关注私信	ctaotao 6 29 楼既然申请了新空间VirtualAllocEx，既然WriteProcessMemory，又何必需要unmap原有的代码呢。 DWORD pid,tid,orgEip; HANDLE hThread; PVOID mem_base; CONTEXT ct; BOOL bRet = FALSE; pid = GetProcessId( hProcess ); tid = FindMainThreadId( pid ); hThread = OpenThread( THREAD_ALL_ACCESS,FALSE,tid ); SuspendThread( hThread ); ct.ContextFlags = CONTEXT_FULL; GetThreadContext( hThread,&ct ); orgEip = ct.Eip; mem_base = VirtualAllocEx( hProcess,NULL,sc_len,MEM_COMMIT,PAGE_EXECUTE_READWRITE ); printf("%x\n",mem_base); bRet = WriteProcessMemory( hProcess,mem_base,shellcode,sc_len,NULL); if(!bRet) { printf("WriteProcessMemory failed. Error code: %d",GetLastError()); } ct.ContextFlags = CONTEXT_FULL; ct.Eip = (DWORD)mem_base; SetThreadContext( hThread,&ct ); ResumeThread( hThread ); CloseHandle( hThread ); return TRUE; 这段代码完成的功能是一样的。 2012-7-26 14:32 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 30 楼学习了，哈哈 2012-8-9 20:05 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 31 楼 WriteProcessMemory SetThreadContext 动作太大了 2012-8-10 09:48 0
海恩雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	海恩 32 楼虽然杀着，依然是学习的对象 2012-8-21 15:54 0
yanl 雪币： 110 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 23 粉丝 0 关注私信	yanl 2 33 楼这个方法很久前就有了但是支持下 2012-8-25 22:02 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 34 楼这不是傀儡进程，这是偷梁换柱 2012-8-28 10:31 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 35 楼用来注入其实是很不错的~ 2012-8-28 14:32 0
askyou 雪币： 158 活跃值： (18) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 14 粉丝 2 关注私信	askyou 1 36 楼强悍，感谢楼主分享 2012-10-14 21:35 0
kagayaki 雪币： 1316 活跃值： (5174) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 37 楼收藏....................... 2012-10-23 20:15 0
lzdxbksmc 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 0 关注私信	lzdxbksmc 38 楼好东西。先收藏了。 2012-10-27 08:23 0
sjjwind 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	sjjwind 39 楼学习,mark一下 2012-10-30 10:46 0
fiorentina 雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fiorentina 40 楼学习下思路还不错 2013-3-8 13:57 0
dycc 雪币： 92 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	dycc 1 41 楼楼主大神，学习了~ 2013-5-3 01:38 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 42 楼练手，学习学习 2013-5-9 23:15 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 43 楼 mark 2014-2-10 20:19 0
secbwain 雪币： 192 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	secbwain 44 楼顶一个，老技术，精神鼓励。 2014-2-10 21:35 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 45 楼我想说,我写的都能过.为毛呢. 2014-2-12 16:05 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 46 楼白加黑就能过 2014-2-12 16:36 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 47 楼已经放弃了进程替换了,太垃圾了,主要是WIN764跑不起来,还不如白加黑通用! 2014-2-12 16:48 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 48 楼 WIN7x64我还木有测试过,不过我之前弄得白加黑也是和进程替换结合起来的, 只不过不是一个exe替换,直接把shellcode写入目标进程,然后修改入口点,这样效果比较好. 2014-2-12 17:53 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 49 楼特征码不是难事,构造的巧妙主防照样过,数字稍微麻烦点而已 2014-2-12 17:56 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 50 楼往目标进程写shellcode,改入口点.动作太大了吧..不过.这段代码我想要一份,如果愿意的话加我.QQ2745459923(请备注看雪,).共同交流,可以分享一下思路,我也有好思路哦,! 2014-2-13 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wmbol

发帖

302

回帖

RANK

关注

私信

他的文章

[招聘]支付宝招聘高级iOS工程师 6595
[原创]远程注入dll 10937

关于我们

联系我们

企业服务

看雪公众号

最新回复 (96) ◀ 1 2 3 4 ▶
xdklzy 雪币： 208 活跃值： (148) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	xdklzy 1 26 楼 SetThreadContext不被杀就牛B了 2012-7-20 19:43 0
wpm 雪币： 1248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wpm 27 楼围观一众大牛 2012-7-23 09:23 0
pady 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pady 28 楼学习思路，能否被干掉先不说。 2012-7-23 16:07 0
ctaotao 雪币： 324 活跃值： (113) 能力值： ( LV15，RANK：280 ) 在线值：发帖 20 回帖 102 粉丝 3 关注私信	ctaotao 6 29 楼既然申请了新空间VirtualAllocEx，既然WriteProcessMemory，又何必需要unmap原有的代码呢。 DWORD pid,tid,orgEip; HANDLE hThread; PVOID mem_base; CONTEXT ct; BOOL bRet = FALSE; pid = GetProcessId( hProcess ); tid = FindMainThreadId( pid ); hThread = OpenThread( THREAD_ALL_ACCESS,FALSE,tid ); SuspendThread( hThread ); ct.ContextFlags = CONTEXT_FULL; GetThreadContext( hThread,&ct ); orgEip = ct.Eip; mem_base = VirtualAllocEx( hProcess,NULL,sc_len,MEM_COMMIT,PAGE_EXECUTE_READWRITE ); printf("%x\n",mem_base); bRet = WriteProcessMemory( hProcess,mem_base,shellcode,sc_len,NULL); if(!bRet) { printf("WriteProcessMemory failed. Error code: %d",GetLastError()); } ct.ContextFlags = CONTEXT_FULL; ct.Eip = (DWORD)mem_base; SetThreadContext( hThread,&ct ); ResumeThread( hThread ); CloseHandle( hThread ); return TRUE; 这段代码完成的功能是一样的。 2012-7-26 14:32 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 30 楼学习了，哈哈 2012-8-9 20:05 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 31 楼 WriteProcessMemory SetThreadContext 动作太大了 2012-8-10 09:48 0
海恩雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	海恩 32 楼虽然杀着，依然是学习的对象 2012-8-21 15:54 0
yanl 雪币： 110 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 23 粉丝 0 关注私信	yanl 2 33 楼这个方法很久前就有了但是支持下 2012-8-25 22:02 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 34 楼这不是傀儡进程，这是偷梁换柱 2012-8-28 10:31 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 35 楼用来注入其实是很不错的~ 2012-8-28 14:32 0
askyou 雪币： 158 活跃值： (18) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 14 粉丝 2 关注私信	askyou 1 36 楼强悍，感谢楼主分享 2012-10-14 21:35 0
kagayaki 雪币： 1316 活跃值： (5174) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 37 楼收藏....................... 2012-10-23 20:15 0
lzdxbksmc 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 0 关注私信	lzdxbksmc 38 楼好东西。先收藏了。 2012-10-27 08:23 0
sjjwind 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	sjjwind 39 楼学习,mark一下 2012-10-30 10:46 0
fiorentina 雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fiorentina 40 楼学习下思路还不错 2013-3-8 13:57 0
dycc 雪币： 92 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	dycc 1 41 楼楼主大神，学习了~ 2013-5-3 01:38 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 42 楼练手，学习学习 2013-5-9 23:15 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 43 楼 mark 2014-2-10 20:19 0
secbwain 雪币： 192 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	secbwain 44 楼顶一个，老技术，精神鼓励。 2014-2-10 21:35 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 45 楼我想说,我写的都能过.为毛呢. 2014-2-12 16:05 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 46 楼白加黑就能过 2014-2-12 16:36 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 47 楼已经放弃了进程替换了,太垃圾了,主要是WIN764跑不起来,还不如白加黑通用! 2014-2-12 16:48 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 48 楼 WIN7x64我还木有测试过,不过我之前弄得白加黑也是和进程替换结合起来的, 只不过不是一个exe替换,直接把shellcode写入目标进程,然后修改入口点,这样效果比较好. 2014-2-12 17:53 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 49 楼特征码不是难事,构造的巧妙主防照样过,数字稍微麻烦点而已 2014-2-12 17:56 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 50 楼往目标进程写shellcode,改入口点.动作太大了吧..不过.这段代码我想要一份,如果愿意的话加我.QQ2745459923(请备注看雪,).共同交流,可以分享一下思路,我也有好思路哦,! 2014-2-13 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复