RWX_MEMEORY_HUNT_AND_INJECTION_DV

滥用 Windows fork API 和 OneDrive.exe 进程注入恶意 shellcode,而无需分配新的 RWX 内存区域。此技术是在已运行的进程(本例中为 OneDrive.exe)中找到 RWX 区域,然后将 shellcode 写入该区域并执行它,而无需调用 VirtualProtect、VirtualAllocEx、VirtualAlloc。

用法

只需编译程序并运行(EXE),无需任何参数。

Steps

  • 在运行的进程中找到OneDrive.exe。

  • 获取OneDrive.exe的句柄。

  • 查询远程进程内存信息。

  • 寻找 RWX 内存区域。

  • 将 shellcode 写入 OneDrive.exe 的找到区域中

  • 将 OneDrive.exe 分叉到新进程中。

  • 将分叉进程的起始地址设置为克隆的shellcode。

  • 执行完成后终止克隆的进程。

Shell代码

此技术适用于基于 ntdll 的 shellcode,它不依赖于任何部分。我使用https://github.com/rainerzufalldererste/windows_x64_shellcode_template来生成我的 shellcode。

Shellcode 创建

  • 根据https://github.com/rainerzufalldererste/windows_x64_shellcode_template上的说明编辑 shellcode 模板文件函数“shellcode_template”

  • 编译代码并在任何十六进制编辑器(HxD)中打开.EXE 文件

  • 提取 .text 部分并在给定的项目文件中使用它。

  • 要提取 shellcode,存储库中还解释了其他方法。

仅用于教育目的。

项目地址

https://github.com/Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。