Process Hacker

DLL侧面加载或DLL代理加载允许攻击者滥用合法的和经过签名的可执行文件，以在受感染的系统上执行代码。自2017年以来，这种技术一直很流行。 代理加载与DLL劫持非常相似，但是，它不会破坏原始程序的执行流程或功能。除了将恶意活动隐藏在合法应用程序之后，它还可以用作持久性方法。 总览 为了了解DLL代理对攻击者的加载效果如何，我们首先需要了解当今的典型应用程序如何为第三方库加载外部函数。 使用上面的示例流程，将发生以下情况。 在启动时，应用程序（ A ） 需要使用名为“ GetFunkyData（）”（ C ）的第三方函数来获取数据，GetFunkyData（）存在于名为“ DataFunctions.dll”（ B ）的动态链接库中，该库位于工作环境中。应用程序的目录。 应用程序（ A） 尝试按其名称加载库“ DataFunctions.dll”，以尝试执行“ GetFunkyData（）”（ C ）。由于该函数存在于库（ B ）中，因此将执行该函数，并且应用程序将正常运 行。 执行DLL代理加载攻击时，流程略有不同。 在启动时，应用程序（A）需要使用名为“ GetFunkyData（）”（D）的第三方函数来获取数据，GetFunkyData（）存在于动态链接库中，该动态链接库位于工作目录中，名为“ DataFunctions_Original.dll”（B）。应用程序的 应用程序

【转】 http://bobao.360.cn/learning/detail/4666.html 背景 在第七届的DerbyCon大会上， Chris Bisnett和Kyle Hanslovan发表了一个名叫“Evading Autoruns”的演讲。在这篇演讲中， Kyle 和Chris展示了绕过微软Sysinternals Autoruns工具检查的方法。他们主要利用“PATHEXT”这个Windows环境变量以及Microsoft签名的可执行文件来持久运行注册表项。由于这些家伙的演讲实在是太精彩了，因此我强烈推荐你们看一下他们以下发布的与演讲有关的资料： Talk Slides PoC Example “shady” INF Github 摘要 从***者的视角来看，获取对远端机器的访问权限是关键；而从安全防护的视角来看，发现***者的踪迹同样重要。在这次演讲中，Kyle 和Chris披露了几种“高端”技术用于绕过最常见的系统监视工具，这些“高端”技术涉及重新创建注册表中的run key、非常规利用搜索顺序以及利用可信应用程序。为了补充他们的技术说明，针对每种绕过方法本文都将包括demo演示和检测建议。现在我们已经回顾了上述所有的材料，下面我们对该演讲中有趣的技术内容进行深入探讨。 Autoruns扩展搜索顺序技术 在幻灯片68页，我们看到一个有趣的声明，具体如下图所示：

偶尔，Windows机器上的程序会发疯，只是挂起。 所以我将调用任务管理器并点击“结束进程”按钮。 但是，这并不总是有效; 如果我尝试了足够多次，那么它通常会最终死亡，但我真的希望能够立即杀死它。 在Linux上我可以 kill -9 来保证进程会死掉。 这也可用于编写批处理脚本，编写批处理脚本是编程。 Windows中 是否有一些 程序或 命令会一直杀死进程？ 一个免费的第三方应用程序没问题，虽然我更愿意能够在我第一次坐下来的机器上这样做。 #1楼 设置AT命令以将任务管理器或进程资源管理器作为SYSTEM运行。 AT 12:34 /interactive "C:/procexp.exe" 如果进程资源管理器在你的根C驱动器中，那么这将打开它作为SYSTEM，你可以杀死任何进程而不会获得任何访问被拒绝错误。 将此设置为将来的一分钟，然后它会弹出给你。 #2楼 JosepStyons是对的。 打开cmd.exe并运行 taskkill /im processname.exe /f 如果有错误说， 错误：无法终止带有PID 1234的进程“process.exe”。 原因：访问被拒绝。 然后尝试以管理员身份运行cmd.exe。 #3楼 Process Hacker 有许多方法可以杀死进程。 （右键单击该进程，然后转到Miscellaneous-> Terminator。） #4楼