-
-
rust版ProcessGhosting
-
发表于: 2022-10-31 18:06
-
项目地址:d29K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1j5H3P5r3I4S2L8X3g2Q4x3V1k6H3M7X3!0U0k6i4y4K6i4K6g2X3k6$3S2G2M7%4c8A6L8X3M7`.
这个是根据 hasherezade/process_ghosting 项目改的 rust 版本代码。
ProcessGhosting 是一项 PE 文件注入技术。
大致利用步骤:
在最后一步的时候,会触发进程创建内核回调,进程在磁盘上无文件与之对应,可让一些静态检测引擎失效。
该技术除了使用 delete_on_close 文件自删除机制之外,还需配合进程命令行参数伪造技术一起使用。
因为创建的进程属于无文件进程,在进程管理器里看着很怪异,不过单纯用来绕过静态进程文件扫描还是不错的。
可能 hasherezade 也觉得不满意,又结合 ProcessHollowing 技术写了个项目解决了这个问题:e17K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5i4y4Z5k6i4u0W2P5X3q4V1k6g2)9J5c8Y4c8J5j5h3&6K6j5h3y4@1k6h3c8Q4y4h3k6Z5L8$3I4D9L8%4N6A6L8X3M7`.
她用的解决方式是,先创建一个正常程序的挂起进程,然后制作一个无文件的 section,map 到目标进程中,再更新 PEB 后恢复线程即可。
cargo buildcargo buildprocess_ghosting.exe <target_path> <payload_path>process_ghosting.exe <target_path> <payload_path>
最后于 2022-10-31 18:21
被0xlane编辑
,原因:
|
|
|---|---|
