本文转载自【微信公众号:MicroPest ,ID:gh_696c36c5382b】,经微信公众号授权转载,如需转载原文作者联系前面介绍了“进程伪装”、“傀儡进程”,今天介绍“进程隐藏”,这是实战中经常遇到的跟进程有关的技巧。实现进程隐藏的方法很多,这次介绍的是一种较为直接的隐藏方式,InlineHOOK。一、函数介绍NTSTATUS WINAPI ZwQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID Sy
本文转载自【微信公众号:MicroPest ,ID:gh_696c36c5382b】,经微信公众号授权转载,如需转载原文作者联系在病毒、木马的实战中有类手法叫“傀儡进程”,换称为“李代桃僵”、“披着羊皮的狼”等称呼,即巧借正常的软件进程或是系统进程的外壳来执行非正常的恶意操作,常被病毒、木马用来作为驻留隐藏的手段。在测试后,我们进行了验证,这个过程有点麻烦,累人。一、函数介绍傀儡进程在替换目标进程之前,必须要保存当前线程的上下文环境,在替换完成后要及时恢复。这样系统才能将傀儡进程视为“正常”进程,而不会被发现。另外为了后边清空内存空间的操作,也必须要通过上下文获得进程的加载基地址。利用系统函数
本文转载自【微信公众号:MicroPest ,ID:gh_696c36c5382b】,经微信公众号授权转载,如需转载原文作者联系UDP面向报文传输数据,在数据传输过程中不能保证可靠性,可能会出现丢包的情况。由于UDP是一种无连接传输方式,所以支持一对一、一对多、多对一和多对多的交互通信。一、函数介绍1.1 sendto()int sendto(int s, const void *buf, int len, unsigned int flags,const struct sockaddr *to, int tolen);返回值说明:成功则返回实际传送出去的字符数,失败返回-1,错误原因会存于e
本文转载自【微信公众号:MicroPest,ID:gh_696c36c5382b】,经微信公众号授权转载,如需转载与原文作者联系前面 …
