Runion
This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!
Process injection without RWX
- Thread starter cppjunior
- Start date
Kernel32dll
Midle Weight
- Депозит
- $0
mockingjay + threadless = FUD all av/edr
DildoFagins
Midle Weight
- Депозит
- $0
Я не знаю почему так мало примеров использования секций, но они по сути недооценённый топ) Я вроде только раз видел как их используют для мапа dll в память в профессиональном софте, но не более. Так они ещё и почти не палятся.
Статья про инжект через создание двух отображений секции https://phasetw0.com/malware/section-code-injection/
Действительно... Даже больше скажу - в чужом процессе можно отобразить секцию просто как X (PAGE_EXECUTE), а потом, после memcpy поменять протекцию в своем процессе на PAGE_NOACCESS Только что протестировал на шеллкоде - так работает) С такой протекцией (PAGE_EXECUTE), получается, отображение секции в удаленном процессе вообще нельзя будет прочитать(аверу)?
Последнее редактирование: 24.12.2023
Kernel32dll
Midle Weight
- Депозит
- $0
Такой говоришь аверу: "бро, не читай, плизь, мою память", а он берет и не читает, вот это был бы идеальный мир для малвари...
DildoFagins
Midle Weight
- Депозит
- $0
C++:
Скопировать в буфер обмена
// Process 1 (RW access)
#include <windows.h>
#include <iostream>
int main()
{
HANDLE hSection = CreateFileMappingW(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, 0, sizeof(int), L"SharedSectionName");
if (hSection == NULL)
{
// Обработка ошибки
return 1;
}
int* pData = (int*)MapViewOfFile(hSection, FILE_MAP_ALL_ACCESS, 0, 0, sizeof(int));
if (pData == NULL)
{
// Обработка ошибки
CloseHandle(hSection);
return 1;
}
// Использование разделяемой секции с RW доступом
*pData = 42;
std::cout << "Variable used successfully. Value: " << *pData << std::endl;
UnmapViewOfFile(pData);
system("pause");
CloseHandle(hSection);
return 0;
}
C++:
Скопировать в буфер обмена
// Process 2 (RX access)
#include <windows.h>
#include <iostream>
int main()
{
HANDLE hSection = OpenFileMappingW(FILE_MAP_READ, FALSE, L"SharedSectionName");
if (hSection == NULL)
{
// Обработка ошибки
return 1;
}
int* pData = (int*)MapViewOfFile(hSection, FILE_MAP_READ, 0, 0, sizeof(int));
if (pData == NULL)
{
// Обработка ошибки
CloseHandle(hSection);
return 1;
}
// Использование разделяемой секции с RX доступом
int value = *pData;
std::cout << "Variable used successfully. Value: " << value << std::endl;
UnmapViewOfFile(pData);
system("pause");
CloseHandle(hSection);
return 0;
}
работает метода )
Скопировать в буфер обмена
// Process 1 (RW access)
#include <windows.h>
#include <iostream>
int main()
{
HANDLE hSection = CreateFileMappingW(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, 0, sizeof(int), L"SharedSectionName");
if (hSection == NULL)
{
// Обработка ошибки
return 1;
}
int* pData = (int*)MapViewOfFile(hSection, FILE_MAP_ALL_ACCESS, 0, 0, sizeof(int));
if (pData == NULL)
{
// Обработка ошибки
CloseHandle(hSection);
return 1;
}
// Использование разделяемой секции с RW доступом
*pData = 42;
std::cout << "Variable used successfully. Value: " << *pData << std::endl;
UnmapViewOfFile(pData);
system("pause");
CloseHandle(hSection);
return 0;
}
C++:
Скопировать в буфер обмена
// Process 2 (RX access)
#include <windows.h>
#include <iostream>
int main()
{
HANDLE hSection = OpenFileMappingW(FILE_MAP_READ, FALSE, L"SharedSectionName");
if (hSection == NULL)
{
// Обработка ошибки
return 1;
}
int* pData = (int*)MapViewOfFile(hSection, FILE_MAP_READ, 0, 0, sizeof(int));
if (pData == NULL)
{
// Обработка ошибки
CloseHandle(hSection);
return 1;
}
// Использование разделяемой секции с RX доступом
int value = *pData;
std::cout << "Variable used successfully. Value: " << value << std::endl;
UnmapViewOfFile(pData);
system("pause");
CloseHandle(hSection);
return 0;
}
работает метода )
0x43rypt0n
Midle Weight
- Депозит
- $0
DripLoader/DripLoader/DripLoader.cpp at master · xuanxuan0/DripLoader
Evasive shellcode loader for bypassing event-based injection detection (PoC) - xuanxuan0/DripLoader
github.com
немного не в тему но то что ты хотел +- с PAGE_NOACCES
Evasive shellcode loader for bypassing event-based injection detection (PoC) - xuanxuan0/DripLoader
github.com
немного не в тему но то что ты хотел +- с PAGE_NOACCES
MoilerRenoiler
Midle Weight
- Депозит
- $0
Вы используете Windows или Linux? Вам стоит учитывать ROP-цепи. Вы будете использовать существующий законный код только путем написания в виртуальную память процесса, без необходимости использования VirtualAllocEx/VirtualProtectEx/CreateRemoteThread.
MoilerRenoiler
Midle Weight
- Депозит
- $0