Ring3进程注入技术讲解篇

Ring3进程注入技术讲解

在我的学习过程中,写出我所了解的三种技术,贴点理论的东西,方便以后理解。大牛勿喷

第一种:远程线程插入技术

将要实现的功能程序做成一个线程,并将次线程在运行时自动插入到常见的进程中,比如explorer.exe。不过这个技术好像有点复杂,复杂在什么地方呢?就是在进程中寻址容易出现问题,必须要进行抵制重定位。然后保存函数和变量的地址,插入到目标进程,需要对目标进程重新进行内存分配。这种方法适合功能简单的后门程序,这样重定位比较方便,而且不那么容易出错。

第二种:动态链接库(DLL)插入技术

将后门程序做成一个动态连接文件,使用线程插入技术奖动态库插入到目标进程中,加载库中的函数到目标进程。这个技术的关键在于写出高质量的DLL,另外还需要一个载体(Loader,也可以是explorer.exe。大部分载体都是系统开机启动项啦!

第三种:Hooking API

API函数的完全修改。这里的修改不是找到这个API的源码进行修改,而是修改API的入口地址,修改开始的5个字节为跳转指令或者修改IAT(导入表,Iomport Address Table)使别的程序在调用这个函数式,首先转向我们的程序。从列表中将自己的进程信息去掉,就可以到达进程隐藏了。

以上就是常见的进程注入基本方法。不过知易行难,要多去看看人家的源代码,多学习学习!

你可能感兴趣的:(进程注入)