吉沃运营专员 发表于 2022-2-15 17:08:35

Process Hollowing 的另一种用法 - Process Overwriting

项目地址:https://github.com/hasherezade/process_overwriting
Process Overwriting 是一个 PE 注入技术,与 Process Hollowing 和 Module Overloading 密切相关。

Process Hollowing 又名 RunPE,是一个出现比较早且受欢迎的 PE 注入技术,虽然有几种不同的变体玩法,但都存在着以下共同点:


[*]以挂起的方式创建一个进程;
[*]将 PE 模块写入到本身内存当中;
[*]重定向到新模块;
[*]恢复线程;

Process Hollowing 不需要手动加载 payload 的 imports,在上面步骤 3 中,windows 加载器会将我们要植入的 PE 作为进程的主要模块,并在其恢复执行时自动加载 imports。

为了让植入的 PE 被 windows 加载器识别,其 Module Base 必须在 PEB 中设置,通常为以下列两种方式之一:


[*]在最经典的变体玩法中,原始 PE 未从内存映射,而新的 PE 映射到它相同地址上的位置;
[*]在另一个常见玩法中,旧模块保持原样,另一个 PE 映射到新的内存区域,然后手动将新模块的基地址写入到 PEB (链接);

作为这些经典实现,我们得到了一个作为主模块运行的 payload,但它被映射为 MEM_PRIVATE (而不是像通常加载的 PE 那样的 MEM_IMAGE)。为了获得映射为 MEM_IMAGE 的 payload,可以使用一些密切相关的技术,例如 Transacted Hollowing 或 Ghostly Hollowing。

Process Overwriting 是解决这个问题的另一种方法。

与经典的 Process Hollowing 相比,我们不是没映射原始 PE,而是重新写入它,没有分配新内存:我们正在使用最初为进程的主模块分配的内存。

优点:

植入的 PE 看起来像是由 windows 加载器加载的


[*]映射的标志为 MEM_IMAGE;
[*]分为具有特定访问权限的部分;
[*]image 被命名;

方便加载


[*]无需在注入之前手动重新定位被植入的 PE,windows 加载器将会处理此问题 (而在经典的 Process Hollowing 中,必须重定位模块);
[*]无需填写 imports (就像在 Process Hollowing 的每个变体玩法一样);
[*]无需在进程中分配新内存;

缺点:


[*]如果目标启用了 GFG (控制流保护),则它不起作用 (但可以在进程创建禁用它);
[*]目标的 ImageSize 不得小于 payload 的 ImageSize (请记住,我们仅使用已分配的内存) - 此限制不会出现在 Process Hollowing 的变体玩法上;
[*]可以通过将内存的模块与相应文件进行比较来检测 (PE-sive 检测) - 就像 Process Hollowing 的每个变体玩法;

Demo

Demo (demo.bin) payload 被注入到 windows 计算器中 (默认):



在内存中表现的形式 (Process Hacker):



liuming 发表于 2022-2-16 09:03:47

{:5_150:} 优质内容 666
页: [1]
查看完整版本: Process Hollowing 的另一种用法 - Process Overwriting