首页 > 系统相关 >使用volatility3识别进程上下文——识别进程名欺骗、父进程欺骗、进程镂空(进程掏空)

使用volatility3识别进程上下文——识别进程名欺骗、父进程欺骗、进程镂空(进程掏空)

时间:2023-05-03 12:22:47浏览次数:39  
标签:识别 WINDOWS system32 1136 dll Disabled 进程 欺骗 ImmunityDebugge

 

注意:我自己使用vol3实验了下,pslist和pstree都看不到进程的完整磁盘路径,但是使用dlllist可以。如下:

PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\malwarecookbook-master\15\6\prolaco.vmem\prolaco.vmem windows.dlllist --pid 1136
Volatility 3 Framework 2.4.1
Progress:  100.00               PDB scanning finished
PID     Process Base    Size    Name    Path    LoadTime        File output

1136    ImmunityDebugge 0x400000        0x1c5000        ImmunityDebugger.exe    C:\Program Files\Immunity Inc\Immunity Debugger\ImmunityDebugger.exe    N/A     Disabled ==》这不就是看到了吗!
1136    ImmunityDebugge 0x7c900000      0xb0000 -       -       N/A     Disabled
1136    ImmunityDebugge 0x7c800000      0xf4000 kernel32.dll    C:\WINDOWS\system32\kernel32.dll        N/A     Disabled
1136    ImmunityDebugge 0x77dd0000      0x9b000 ADVAPI32.DLL    C:\WINDOWS\system32\ADVAPI32.DLL        N/A     Disabled
1136    ImmunityDebugge 0x77e70000      0x91000 RPCRT4.dll      C:\WINDOWS\system32\RPCRT4.dll  N/A     Disabled
1136    ImmunityDebugge 0x77c00000      0x8000  VERSION.DLL     C:\WINDOWS\system32\VERSION.DLL N/A     Disabled
1136    ImmunityDebugge 0x71ad0000      0x9000  WSOCK32.DLL     C:\WINDOWS\system32\WSOCK32.DLL N/A     Disabled
1136    ImmunityDebugge 0x71ab0000      0x17000 WS2_32.dll      C:\WINDOWS\system32\WS2_32.dll  N/A     Disabled
1136    ImmunityDebugge 0x77c10000      0x58000 msvcrt.dll      C:\WINDOWS\system32\msvcrt.dll  N/A     Disabled
1136    ImmunityDebugge 0x71aa0000      0x8000  WS2HELP.dll     C:\WINDOWS\system32\WS2HELP.dll N/A     Disabled
1136    ImmunityDebugge 0x5d090000      0x97000 COMCTL32.DLL    C:\WINDOWS\system32\COMCTL32.DLL        N/A     Disabled
1136    ImmunityDebugge 0x77f10000      0x46000 GDI32.dll       C:\WINDOWS\system32\GDI32.dll   N/A     Disabled
1136    ImmunityDebugge 0x77d40000      0x90000 USER32.dll      C:\WINDOWS\system32\USER32.dll  N/A     Disabled
1136    ImmunityDebugge 0x763b0000      0x49000 COMDLG32.DLL    C:\WINDOWS\system32\COMDLG32.DLL        N/A     Disabled
1136    ImmunityDebugge 0x77f60000      0x76000 SHLWAPI.dll     C:\WINDOWS\system32\SHLWAPI.dll N/A     Disabled
1136    ImmunityDebugge 0x7c9c0000      0x814000        SHELL32.dll     C:\WINDOWS\system32\SHELL32.dll N/A     Disabled
1136    ImmunityDebugge 0x774e0000      0x13c000        OLE32.DLL       C:\WINDOWS\system32\OLE32.DLL   N/A     Disabled
1136    ImmunityDebugge 0x77120000      0x8c000 OLEAUT32.DLL    C:\WINDOWS\system32\OLEAUT32.DLL        N/A     Disabled
1136    ImmunityDebugge 0x1e000000      0x206000        PYTHON25.DLL    C:\WINDOWS\system32\PYTHON25.DLL        N/A     Disabled
1136    ImmunityDebugge 0x7c340000      0x56000 MSVCR71.dll     C:\WINDOWS\system32\MSVCR71.dll N/A     Disabled
1136    ImmunityDebugge 0x773d0000      0x102000        comctl32.dll    C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll       N/A     Disabled
1136    ImmunityDebugge 0x5ad70000      0x38000 uxtheme.dll     C:\WINDOWS\system32\uxtheme.dll N/A     Disabled
1136    ImmunityDebugge 0x76bf0000      0xb000  PSAPI.DLL       C:\WINDOWS\system32\PSAPI.DLL   N/A     Disabled
1136    ImmunityDebugge 0x76c90000      0x28000 IMAGEHLP.DLL    C:\WINDOWS\system32\IMAGEHLP.DLL        N/A     Disabled
1136    ImmunityDebugge 0x59a60000      0xa1000 DBGHELP.DLL     C:\WINDOWS\system32\DBGHELP.DLL N/A     Disabled
1136    ImmunityDebugge 0x77b40000      0x22000 Apphelp.dll     C:\WINDOWS\system32\Apphelp.dll N/A     Disabled
1136    ImmunityDebugge 0x2920000       0x45000 Bookmark.dll    C:\Program Files\Immunity Inc\Immunity Debugger\Bookmark.dll    N/A     Disabled
1136    ImmunityDebugge 0x2ad0000       0x52000 Cmdline.dll     C:\Program Files\Immunity Inc\Immunity Debugger\Cmdline.dll     N/A     Disabled
1136    ImmunityDebugge 0x71a50000      0x3f000 mswsock.dll     C:\WINDOWS\system32\mswsock.dll N/A     Disabled
1136    ImmunityDebugge 0x662b0000      0x58000 hnetcfg.dll     C:\WINDOWS\system32\hnetcfg.dll N/A     Disabled
1136    ImmunityDebugge 0x71a90000      0x8000  wshtcpip.dll    C:\WINDOWS\System32\wshtcpip.dll        N/A     Disabled
1136    ImmunityDebugge 0x76f20000      0x27000 DNSAPI.dll      C:\WINDOWS\system32\DNSAPI.dll  N/A     Disabled
1136    ImmunityDebugge 0x76fb0000      0x8000  winrnr.dll      C:\WINDOWS\System32\winrnr.dll  N/A     Disabled
1136    ImmunityDebugge 0x76f60000      0x2c000 WLDAP32.dll     C:\WINDOWS\system32\WLDAP32.dll N/A     Disabled
1136    ImmunityDebugge 0x76fc0000      0x6000  rasadhlp.dll    C:\WINDOWS\system32\rasadhlp.dll        N/A     Disabled

 

 当然,最简单的使用cmdline:

PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\malwarecookbook-master\15\6\prolaco.vmem\prolaco.vmem windows.cmdline --pid 1136
Volatility 3 Framework 2.4.1
Progress:  100.00               PDB scanning finished
PID     Process Args

1136    ImmunityDebugge "C:\Program Files\Immunity Inc\Immunity Debugger\ImmunityDebugger.exe" "C:\Documents and Settings\Administrator\Desktop\1_doc_RCData_612.exe"

 继续讨论进程镂空:

 最后如何通过sid识别我没有太命令,vol3里的命令示例如下:

PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\malwarecookbook-master\15\6\prolaco.vmem\prolaco.vmem windows.getsids
Volatility 3 Framework 2.4.1
Progress:  100.00               PDB scanning finished
PID     Process SID     Name

4       System  S-1-5-18        Local System
4       System  S-1-5-32-544    Administrators
4       System  S-1-1-0 Everyone
4       System  S-1-5-11        Authenticated Users
544     smss.exe        S-1-5-18        Local System
544     smss.exe        S-1-5-32-544    Administrators
544     smss.exe        S-1-1-0 Everyone
544     smss.exe        S-1-5-11        Authenticated Users
608     csrss.exe       S-1-5-18        Local System
608     csrss.exe       S-1-5-32-544    Administrators
608     csrss.exe       S-1-1-0 Everyone
608     csrss.exe       S-1-5-11        Authenticated Users
632     winlogon.exe    S-1-5-18        Local System
632     winlogon.exe    S-1-5-32-544    Administrators
632     winlogon.exe    S-1-1-0 Everyone
632     winlogon.exe    S-1-5-11        Authenticated Users

 不过,从os api调用角度看,如果有创建进程然后暂停,并写入该进程,同时有setthread context,resume 线程运行,那么肯定就是进程镂空了!

 

标签:识别,WINDOWS,system32,1136,dll,Disabled,进程,欺骗,ImmunityDebugge
From: https://www.cnblogs.com/bonelee/p/17368910.html

相关文章

  • 多进程的学习
    只有在I/O时thread才释放GIL让thread2运行同时thread1在进行I/O只有进行输入和输出操作thraeding才行。I/O跟cpu分开的所以进行I/O时进程会释放交给另一个进程运行。如果没有I/O的话多线程就是串行执行。线程不断的切换导致性能较低。......
  • 使用psscan检测dkom攻击——对于那些直接修改内存对象的rootkit,例如通过dkom实现进程
    pslist和psscan的区别列表:“pslist”模块使用与将在实时计算机上执行的任务列表命令相同的算法。而且,Windows任务管理器也使用相同的方法。上面提到的命令“pslist”遍历Windows内核维护的活动进程结构列表。windows内核使用EPROCESS数据结构来描述每一个......
  • 【论文翻译】COGMEN:基于上下文化GNN的多模态情感识别
    摘要情感是人类互动的固有组成部分,因此,开发能够理解和识别人类情感的人工智能系统势在必行。在涉及不同人的谈话中,一个人的情绪受到另一个说话人的语句和自己对语句的情绪状态的影响。在本文中,我们提出了基于上下文化图神经网络的多模态情感识别(COGMEN)系统,该系统利用了局部信息......
  • HJ18 识别有效的IP地址和掩码并进行分类统计
    思路:程序实现不难,困难的是看懂题目。需要右一点IP地址和子网掩码的基本知识。困难点1:255.255.255.32就是一个非法的掩码。32的二进制0b100000,不足8位,需要补全为00100000,因此1前面有‘0’是非法掩码。困难2:当成对的子网掩码或IP地址为非法时,计算为一个错误,并不再对IP地址的类别......
  • 守护进程
    #终端  #进程组   #会话   #守护进程  //创建一个会话,每隔2s获取系统时间,并将时间写入到磁盘文件中#include<stdio.h>#include<sys/types.h>#include<unistd.h>#include<stdlib.h>#include<sys/stat.h>#include<fcntl.h>#include......
  • linux进程的管理与调度
     进程的管理与调度是所有操作系统的核心功能。从内核的角度来看,进程是内核分配资源(CPU,Memory)的重要单元,是计算机用来管理这些资源的一种抽象。进程状态1、TASK_RUNNING表示进程要么正在执行,要么准备执行,等待cpu时间片的调度2、TASK_INTERRUPTIBLE表示进程被挂起(睡眠),直到......
  • Linux 进程调度之schdule主调度器
    考虑到文章篇幅,在这里我只讨论普通进程,其调度算法采用的是CFS(完全公平)调度算法。至于CFS调度算法的实现后面后专门写一篇文章,这里只要记住调度时选择一个优先级最高的任务执行一、调度单位简介1.1task_struct结构体简介对于Linux内核来说,调度的基本单位是任务,用structtask......
  • Android下结束进程的方法
    一、结束一个活动Activity要主动的结束一个活动Activity,使用finish方法,而且这个方法最后会调用Activity的生命周期函数onDestroy方法,结束当前的Activity,从任务栈中弹出当前的Activity,激活下一个Activity。当然其他的finish系列方法,我们不在这里做详细讨论,有兴趣的同学可以自......
  • 关闭占有某端口的进程
    我们都知道tomcat、JBoss等web容器默认端口为8080,之前在做javaweb项目的时候运行Jboss时发现8080端口被占用了,于是就去找究竟那个进程占用了该端口。Solution:netstat-ano|findstr8080-->"Enter"。tasklist/fi"PIDeq440"-->"Enter",这里/fi为筛选,"PIDeq440"为筛选条......
  • lab5:深入理解进程切换
    目录linux操作系统分析Lab5:深入理解进程切换context_switch函数执行过程1.prepare_task_switch()2.arch_start_context_switch()3.switch_mm_irqs_off()进程地址切换3.switch_to()实验总结linux操作系统分析Lab5:深入理解进程切换context_switch函数content_switch函......