文章预览
学习代码存放在:https://github.com/yongsheng220/Process-Inject 进程注入是一种在单独的活动进程中的地址空间中执行任意代码的方法。在一个进程的上下文中运行特定代码,则有可能访问该进程的内存,系统或网络资源以及提升权限。即将 shellcode/PE “注入” 至某个进程中来尝试规避检测。 根据ATT ,针对进程注入有以下12种分类: T1055.001– Dynamic-link Library Injection(dll注入) T1055.002– Portable Executable Injection(PE注入) T1055.003– Thread Execution Hijacking(线程劫持) T1055.004– Asynchronous Procedure Call(APC注入) T1055.005– Thread Local Storage(线程本地存储TLS注入) T1055.008– Ptrace System Calls(Linux下的Ptrace注入) T1055.009– Proc Memory T1055.011– Extra Window Memory Injection(额外窗口内存注入) T1055.012– Process Hollowing(傀儡进程/进程镂空) T1055.013– Process Doppelganging(进程替身/
………………………………