火绒注入

时间  2019-11-19
标签 火绒 注入 繁體版
原文   原文链接

http://www.mengwuji.net/thread-6765-1-1.htmlhtml

 

进程加载模块顺序 :git

ModLoad: 00f60000 00f80000 C:\Users\YIFI\Desktop\AVL\Debug\AVL.exe // 本身自己
ModLoad: 77700000 77879000 C:\WINDOWS\SYSTEM32\ntdll.dll     
ModLoad: 769b0000 76aa0000 C:\WINDOWS\SYSTEM32\KERNEL32.DLL
ModLoad: 76cc0000 76e36000 C:\WINDOWS\SYSTEM32\KERNELBASE.dll
ModLoad: 746a0000 746bc000 C:\WINDOWS\SYSTEM32\VCRUNTIME140D.dll
ModLoad: 5fdb0000 5ff26000 C:\WINDOWS\SYSTEM32\ucrtbased.dllgithub

 

采用加载模块回调实现shell

主要步骤:函数

判断加载Dll名字  在加载完ntdll以后  由于须要的函数须要在ntdll里面搜索.net

在Ntdll里面获取ZwProtectVirtualMemory  LdrLoadDll  ZwTestAlert地址 (win10取ntdll!LdrGetProcedureAddressForCaller)code

在ntdll附近分配注入shellcode须要的内存7.调用ntoskrnl!ZwReadVirtualMemory获取ntdll!ZwTestAlert处头5字节的数据保存起来htm

填写数据到申请的内存上进程

调用ntoskrnl!ZwWriteVirtualMemory往刚才分配的内存区域里复制配置好的shellcode及shellcode须要的数据。内存

调用ntoskrnl!ZwProtectVirtualMemory+ZwWriteVirtualMemory+ZwProtectVirtualMemory把{0xE9, ??, ??, ??, ??}(实际上是jmp到shellcode处)复制到ntdll!ZwTestAlert处,覆盖5个字节

一波断点以后,拿到了shellcode的位置,跟进去就能够看出大体思路(应该是手写的汇编,这里就不放代码了)
1.调用ntdll!NtProtectVirtualMemory修改ntdll!ZwTestAlert(这个地址是刚才第7步就预置好的,不是动态获取的)的保护页成PAGE_EXECUTE_READWRITE
2.memcpy恢复ntdll!ZwTestAlert头部的5字节(这5个字节也是第7步预置好的)
3.调用NtProtectVirtualMemory恢复ntdll!ZwTestAlert保护页
4.调用ntdll!LdrLoadDll完成工做
5.跳回ntdll!ZwTestAlert处

 代码连接

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程