MySun179 发表于 2019-8-16 09:02:37

注入系列之八Doppelganging

<font size="5" color="#0000ff"><font style="box-sizing: border-box; font-family: &quot;Open Sans&quot;, sans-serif; vertical-align: inherit;"><font style="box-sizing: border-box; vertical-align: inherit;">doppelganging背后的想法是改善挖空进程的局限性,即如何将可执行内存指令写入目标过程。</font><font style="box-sizing: border-box; vertical-align: inherit;">Doppelganging通过Windows Transactions实现了这一目标。</font><font style="box-sizing: border-box; vertical-align: inherit;">Doppelganging使用</font></font><code style="box-sizing: border-box; font-family: SFMono-Regular, Menlo, Monaco, Consolas, &quot;Liberation Mono&quot;, &quot;Courier New&quot;, monospace; word-break: break-word;">CreateTransaction</code><font style="box-sizing: border-box; font-family: &quot;Open Sans&quot;, sans-serif; vertical-align: inherit;"><font style="box-sizing: border-box; vertical-align: inherit;">和</font><font style="box-sizing: border-box; vertical-align: inherit;"><span style="font-family: SFMono-Regular, Menlo, Monaco, Consolas, &quot;Liberation Mono&quot;, &quot;Courier New&quot;, monospace;">CreateFileTransacted&nbsp; 以读写方式</span>加载正常的可执行文件</font></font><font style="box-sizing: border-box; font-family: &quot;Open Sans&quot;, sans-serif; vertical-align: inherit;"><font style="box-sizing: border-box; vertical-align: inherit;">,但随后使用恶意代码覆盖(<span style="font-family: SFMono-Regular, Menlo, Monaco, Consolas, &quot;Liberation Mono&quot;, &quot;Courier New&quot;, monospace;">WriteFile</span>)事务处理文件的内容</font></font><font style="box-sizing: border-box; font-family: &quot;Open Sans&quot;, sans-serif; vertical-align: inherit;"><font style="box-sizing: border-box; vertical-align: inherit;">。</font><font style="box-sizing: border-box; vertical-align: inherit;">然后,Doppelganging创建一个section映射到之前那个打开的正常进程去,&nbsp;来保存受污染的事务,再创建一个进程 设置它的启动参数 设置peb参数 给他创建一个主线程 让主线程运行入口处的指令,然后对事务执行回滚。</font><font style="box-sizing: border-box; vertical-align: inherit;">回滚将撤消事务执行的更改,这在Doppelganging的上下文中是覆盖正常进程文件,因此对良性文件的更改实际上不会提交到文件系统。</font><font style="box-sizing: border-box; vertical-align: inherit;">但是,这里需要注意的是,该部分受污染的内容仍然在我们新创建的进程内存里。一切神不知鬼不觉 原始进程检测不到任何东西 因为我们又创建了一个进程分身 让他的主线程运行那个section映射的带有感染的指令&nbsp; 原始的进程 在我们事物回滚操作后&nbsp; 污染的痕迹消失了</font></font></font><div><font size="5" color="#0000ff"><font style="box-sizing: border-box; font-family: &quot;Open Sans&quot;, sans-serif; vertical-align: inherit;"><font style="box-sizing: border-box; vertical-align: inherit;"><br></font></font></font></div><div>**** Hidden Message *****</div>

mlgbwoai 发表于 2019-8-16 16:26:59

look

huafuge 发表于 2019-8-16 16:32:15

学习学习

shonker 发表于 2019-8-18 00:17:08

谢谢楼主分享:$:$:$:$

桀骜 发表于 2019-8-19 16:05:37

感谢分享

zydsnow 发表于 2019-12-10 14:59:57

学习学习

user233 发表于 2020-1-2 16:00:22

感谢分享!!

啦啦啦啦 发表于 2020-6-19 09:12:37

谢谢分享

WTF 发表于 2020-6-20 03:21:40


学习学习

zhang898600 发表于 2020-6-27 18:33:20

感谢楼主分享
页: [1]
查看完整版本: 注入系列之八Doppelganging