-
-
rust版ProcessGhosting
-
发表于: 2022-10-31 18:06
-
项目地址:https://github.com/0xlane/process_ghosting
这个是根据 hasherezade/process_ghosting 项目改的 rust 版本代码。
ProcessGhosting 是一项 PE 文件注入技术。
参考:https://www.elastic.co/blog/process-ghosting-a-new-executable-image-tampering-attack
大致利用步骤:
在最后一步的时候,会触发进程创建内核回调,进程在磁盘上无文件与之对应,可让一些静态检测引擎失效。
该技术除了使用 delete_on_close 文件自删除机制之外,还需配合进程命令行参数伪造技术一起使用。
因为创建的进程属于无文件进程,在进程管理器里看着很怪异,不过单纯用来绕过静态进程文件扫描还是不错的。
可能 hasherezade 也觉得不满意,又结合 ProcessHollowing 技术写了个项目解决了这个问题:https://github.com/hasherezade/transacted_hollowing
她用的解决方式是,先创建一个正常程序的挂起进程,然后制作一个无文件的 section,map 到目标进程中,再更新 PEB 后恢复线程即可。
cargo buildcargo buildprocess_ghosting.exe <target_path> <payload_path>process_ghosting.exe <target_path> <payload_path>[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-10-31 18:21
被0xlane编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
伟叔叔
为你点赞~
2023-3-18 00:46
PLEBFE
为你点赞~
2023-1-11 12:06
sfzhi
为你点赞~
2023-1-10 11:18
|
|
|---|---|
