-
-
rust版ProcessGhosting
-
发表于: 2022-10-31 18:06
-
项目地址:https://github.com/0xlane/process_ghosting
这个是根据 hasherezade/process_ghosting 项目改的 rust 版本代码。
ProcessGhosting 是一项 PE 文件注入技术。
参考:https://www.elastic.co/blog/process-ghosting-a-new-executable-image-tampering-attack
大致利用步骤:
在最后一步的时候,会触发进程创建内核回调,进程在磁盘上无文件与之对应,可让一些静态检测引擎失效。
该技术除了使用 delete_on_close 文件自删除机制之外,还需配合进程命令行参数伪造技术一起使用。
因为创建的进程属于无文件进程,在进程管理器里看着很怪异,不过单纯用来绕过静态进程文件扫描还是不错的。
可能 hasherezade 也觉得不满意,又结合 ProcessHollowing 技术写了个项目解决了这个问题:https://github.com/hasherezade/transacted_hollowing
她用的解决方式是,先创建一个正常程序的挂起进程,然后制作一个无文件的 section,map 到目标进程中,再更新 PEB 后恢复线程即可。
cargo buildcargo buildprocess_ghosting.exe <target_path> <payload_path>process_ghosting.exe <target_path> <payload_path>[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2022-10-31 18:21
被techliu编辑
,原因:
|
|
|---|---|
