-
-
rust版ProcessGhosting
-
发表于: 2022-10-31 18:06 17371
-
项目地址:https://github.com/0xlane/process_ghosting
这个是根据 hasherezade/process_ghosting 项目改的 rust 版本代码。
ProcessGhosting 是一项 PE 文件注入技术。
参考:https://www.elastic.co/blog/process-ghosting-a-new-executable-image-tampering-attack
大致利用步骤:
在最后一步的时候,会触发进程创建内核回调,进程在磁盘上无文件与之对应,可让一些静态检测引擎失效。
该技术除了使用 delete_on_close 文件自删除机制之外,还需配合进程命令行参数伪造技术一起使用。
因为创建的进程属于无文件进程,在进程管理器里看着很怪异,不过单纯用来绕过静态进程文件扫描还是不错的。
可能 hasherezade 也觉得不满意,又结合 ProcessHollowing 技术写了个项目解决了这个问题:https://github.com/hasherezade/transacted_hollowing
她用的解决方式是,先创建一个正常程序的挂起进程,然后制作一个无文件的 section,map 到目标进程中,再更新 PEB 后恢复线程即可。
cargo build
cargo build
process_ghosting.exe <target_path> <payload_path>
process_ghosting.exe <target_path> <payload_path>
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2022-10-31 18:21
被techliu编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
伟叔叔
为你点赞~
2023-3-18 00:46
一笑人间万事
为你点赞~
2023-1-11 12:06
sfzhi
为你点赞~
2023-1-10 11:18
赞赏
他的文章
- [原创]微信4.0聊天记录数据库文件解密分析 9332
- [原创]Windows PE 文件签名的解析与验证 10200
- [原创]rust动态加载llvm pass混淆编译二进制文件 3388
- [原创] COM 进程注入技术 24080
- [原创] Rust写的父进程PID欺骗工具 8923
看原图
赞赏
雪币:
留言: