MySun179 发表于 2019-8-16 09:12:33

注入系列之十CTRL-C注入

<p class="blogpost-text" style="box-sizing: border-box; margin-top: 15px; line-height: 1.8;"><font size="5" color="#0000ff"><font face="Open Sans, sans-serif">ctrl-c组合键是用于退出和关闭应用程序的众所周知的快捷键。ctrl-inject注入技术利用了使这个热键基本功能。具体来说,</font><span style="font-family: Lato, &quot;Helvetica Neue For Number&quot;, -apple-system, BlinkMacSystemFont, &quot;Segoe UI&quot;, Roboto, &quot;PingFang SC&quot;, &quot;Hiragino Sans GB&quot;, &quot;Microsoft YaHei&quot;, &quot;Helvetica Neue&quot;, Helvetica, Arial, sans-serif;">当用户或进程向基于控制台的进程(例如cmd.exe或powershell.exe)发送Ctrl + C(或Break)信号时,系统进程csrss.exe将会在目标进程中创建一个新的线程来调用函数CtrlRoutine。</span><font face="Open Sans, sans-serif">简而言之,该技术用恶意函数指针覆盖此回调函数,这样无论何时发生信号,都将调用恶意处理程序。</font></font></p><p class="blogpost-text" style="box-sizing: border-box; margin-top: 15px; line-height: 1.8;"><font face="Open Sans, sans-serif" size="5" color="#0000ff"><br></font></p><p class="blogpost-text" style="box-sizing: border-box; margin-top: 15px; line-height: 1.8;"><font face="Open Sans, sans-serif" size="5" color="#0000ff">ctrl-inject的优势在于该技术不依赖于任何函数调用CreateRemoteThread,ResumeThread或者SetThreadContext更确切地说是通过该csrss.exe进程触发执行。触发执行的技术是一个简单的ctrl-c信号,在许多情况下被认为是无害且不可靠的。该技术的缺点是它只适用于基于控制台的应用程序。</font></p><p class="blogpost-text" style="box-sizing: border-box; margin-top: 15px; line-height: 1.8;"><font face="Open Sans, sans-serif" size="5" color="#0000ff"><br></font></p><p class="blogpost-text" style="box-sizing: border-box; margin-top: 15px; line-height: 1.8;">**** Hidden Message *****</i></i></i></i></i></i></i></i></i></i></i></p><div><i><i><i><br></i></i></i></div><p></p>

shonker 发表于 2019-8-18 00:12:58

谢谢楼主分享:loveliness::loveliness:

桀骜 发表于 2019-8-19 16:07:20

感谢分享

0x17 发表于 2020-2-28 23:49:03

感谢分享

weiyoucg 发表于 2020-3-2 18:15:10

感谢分享

a92352102 发表于 2020-4-21 21:33:49

学习学习

l531619792 发表于 2020-4-22 09:47:26

学习学习 谢谢楼主

ndd 发表于 2020-5-19 00:16:56

学习一下

啦啦啦啦 发表于 2020-6-19 09:15:55

谢谢分享

zhang898600 发表于 2020-6-27 19:15:34

感谢分享,学习
页: [1]
查看完整版本: 注入系列之十CTRL-C注入