-
-
[原创][Windows驱动开发] FF_BlackBone介绍
-
发表于:
2019-5-20 00:46
20461
-
[原创][Windows驱动开发] FF_BlackBone介绍
作为Windows开发人员,经常遇到枚举进程、枚举模块、读写进程内存的操作;Windows安全开发人员更是会涉及注入、hook、操作PE文件、编写驱动。每次都要翻各种资料制造轮子,那么有没有好的开源库解决这个问题呢,目前知道的就Blackbone了,而且它的代码写的很好,完全可以作为教科书来用。
PS:作者DarthTon在github上的头像很有意思,就粘了下来。
MSDIA:Debug Interface Access,官网链接
DEP :数据执行保护的英文缩写,全称为Data Execution Prevention。数据执行保护(DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。
编译选项如下图所示:
C++17编译错误修正(集成BlackBone到自己的工程会出现这个错误):
本文章仅供用于技术研究用途,请勿利用文章内容操作用于违反法律的事情。
微信公众号:
qq群:IT技术控/953949723
- github网址
- 最新版本只支持VS2019,如果要使用VS2017,需要选择分支:Branch_bd30dd1(2019/3/6 8:28:08)
- 库包含内容(详细参考github主页README.md)
-
Xenos(基于Blackbone的开源的Windows dll注入工具)
- Process interaction(进程交互)
- Process Memory(进程内存)
- Process modules(进程模块)
- 注入、卸载模块(支持 pure IL images)
- Threads(线程)
- Pattern search
- Remote code execution
- 组装自己的代码并远程执行(shellcode注入)
- 支持各种调用方式: cdecl/stdcall/thiscall/fastcall
- 支持在新线程或已经存在的线程中执行shellcode
- Remote hooking
- Hook functions upon return(通过return挂钩函数)
- Manual map features
- 隐藏注入,支持x86和x64,注入任意未保护的进程,支持导入表和延迟导入等等特性,不一一列举了。
- Driver features
- 用户模式dll注入;手动mapping(手动加载模块)
- 注入、卸载模块(支持 pure IL images)
- 组装自己的代码并远程执行(shellcode注入)
- 支持各种调用方式: cdecl/stdcall/thiscall/fastcall
- 支持在新线程或已经存在的线程中执行shellcode
- Hook functions upon return(通过return挂钩函数)
- 隐藏注入,支持x86和x64,注入任意未保护的进程,支持导入表和延迟导入等等特性,不一一列举了。
- 用户模式dll注入;手动mapping(手动加载模块)
- sdk、wdk版本要相同10.0.17763.0。
- cor.h文件及相关的mscoree.lib库找不到编译错误,需要安装C#模块。
- fatal error LNK1104: 无法打开文件“msvcprtd.lib”;安装Spectre组件
- fatal error LNK1104: 无法打开文件“atls.lib”;安装带Spectre的ATL
- vs2017-xp支持:https://docs.microsoft.com/en-us/cpp/build/configuring-programs-for-windows-xp?view=vs-2019
- 非类型模板参数中的 "auto" 最低要求为 "/std:c++17";在《项目->属性-> C/C++ -> 语言 -> C++语言标准》中设置c++17或者c++latest都行
github网址最新版本只支持VS2019,如果要使用VS2017,需要选择分支:Branch_bd30dd1(2019/3/6 8:28:08)库包含内容(详细参考github主页README.md)
Xenos(基于Blackbone的开源的Windows dll注入工具)Process interaction(进程交互)操作PEB32/PEB64通过WOW64 barrier管理进程Process Memory(进程内存)分配和释放虚拟内存改变内存保护属性读写虚拟内存
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-3-4 18:15
被kinghzking编辑
,原因: