قمنا بتغطية عملية الحقن وعملية التجويف. حقن العملية هو عملية حقن عملية قيد التشغيل بالفعل باستخدام تعليمات برمجية ضارة أو كود قشرة. تفريغ العملية هو عملية إنشاء عملية شرعية في حالة تعليق ثم إلغاء تعيين الكود الشرعي من الذاكرة واستبداله بكود الصدفة. يعد كل من حقن العمليات وتجويفها مفيدًا لإخفاء الجذور الخفية وأكواد القشرة في عمليات تبدو بريئة للحفاظ على الوصول والاستمرارية. كان هذا جزءًا من TryHackMe يسيء استخدام الأجزاء الداخلية من نظام التشغيل Windows مسار الفريق الأحمر.

قمنا أيضًا بتغطية DLL حقن واختطاف DLL بالإضافة إلى سيناريو عملي من معمل TryHackMe Abusing Windows Internals الذي يعد جزءًا من مسار الفريق الأحمر. يعتمد حقن DLL على استخدام استدعاءات Windows API لتنفيذ إجراءات محددة مثل تحديد عملية قيد التشغيل وتخصيص الذاكرة وكتابة DLL الضارة في منطقة الذاكرة المخصصة. يعتمد اختطاف DLL على الحصول على أذونات الوصول لتحديد موقع DLL الشرعي واستبداله بآخر ضار.

احصل على ملاحظات دراسة COMPTIA Pentest+

دورة خاصة ب windows privilege escalation

وصف التحدي

استفد من المكونات الداخلية لنظام Windows لتجنب حلول الكشف الشائعة، باستخدام أساليب حديثة لا تعتمد على الأدوات.

أبرز مقاطع الفيديو

يُستخدم حقن العملية عادةً كمصطلح شامل لوصف إدخال تعليمات برمجية ضارة في عملية ما من خلال وظائف أو مكونات مشروعة.

على مستوى عالٍ، يمكن تقسيم حقن كود القشرة إلى أربع خطوات:

  1. افتح عملية مستهدفة مع كافة حقوق الوصول.
  2. تخصيص ذاكرة العملية المستهدفة لكود القشرة.
  3. اكتب كود القشرة في الذاكرة المخصصة في العملية المستهدفة.
  4. قم بتنفيذ كود القشرة باستخدام مؤشر ترابط بعيد.

يوفر تفريغ العملية القدرة على إدخال ملف ضار بالكامل في العملية. يتم تحقيق ذلك عن طريق "تجويف" أو إلغاء رسم خريطة للعملية وحقن مادة محددة بي (صcom.ortable هxecutable) البيانات والأقسام في العملية.

في عملية عالية المستوى، يمكن تقسيم التجويف إلى ست خطوات:

  1. قم بإنشاء عملية مستهدفة في حالة تعليق.
  2. افتح صورة ضارة.
  3. قم بإلغاء تعيين التعليمات البرمجية الشرعية من ذاكرة العملية.
  4. قم بتخصيص مواقع الذاكرة للتعليمات البرمجية الضارة واكتب كل قسم في مساحة العنوان.
  5. قم بتعيين نقطة دخول للتعليمات البرمجية الضارة.
  6. أخرج العملية المستهدفة من حالة التعليق.

في سلسلة المحادثات عالية المستوى (التنفيذ)، يمكن تقسيم عملية الاختطاف إلى إحدى عشرة خطوة:

  1. حدد موقع العملية المستهدفة وافتحها للتحكم فيها.
  2. تخصيص منطقة الذاكرة للتعليمات البرمجية الضارة.
  3. كتابة تعليمات برمجية ضارة إلى الذاكرة المخصصة.
  4. حدد معرف مؤشر الترابط الخاص بمؤشر الترابط المستهدف المراد اختراقه.
  5. افتح الموضوع المستهدف.
  6. قم بتعليق الخيط المستهدف.
  7. الحصول على سياق الموضوع.
  8. قم بتحديث مؤشر التعليمات إلى التعليمات البرمجية الضارة.
  9. أعد كتابة سياق مؤشر الترابط الهدف.
  10. استئناف الموضوع المختطف.

عند حقن DLL عالي المستوى، يمكن تقسيمه إلى ست خطوات:

  1. حدد موقع العملية المستهدفة للحقن.
  2. افتح العملية المستهدفة.
  3. تخصيص منطقة الذاكرة لملفات DLL الضارة.
  4. كتابة DLL الضارة إلى الذاكرة المخصصة.
  5. تحميل وتنفيذ DLL الخبيثة.

إجابات الغرفة

حدد PID للعملية التي تعمل كمهاجم THM لاستهدافها. بمجرد تحديده، قم بتوفير PID كوسيطة للتنفيذ shellcode-injector.exe الموجود في دليل Injectors على سطح المكتب.

ما هي العلامة التي يتم الحصول عليها بعد حقن كود القشرة؟

تحديد أ معرف المنتج لعملية تعمل كمهاجم THM للاستهداف. قم بتوفير PID والاسم القابل للتنفيذ كوسائط للتنفيذ التجويف-injector.exe الموجود في دليل الحاقنات على سطح المكتب.

ما هي العلامة التي يتم الحصول عليها بعد تفريغ كود القشرة وحقنه؟

تحديد أ معرف المنتج لعملية تعمل كمهاجم THM للاستهداف. قم بتوفير PID كوسيطة للتنفيذ خيط-injector.exe الموجود في دليل Injectors على سطح المكتب.

ما هي العلامة التي يتم الحصول عليها بعد اختطاف الموضوع؟

ما هو البروتوكول المستخدم للتنفيذ بشكل غير متزامن في سياق مؤشر الترابط؟

ما هو استدعاء Windows API المستخدم في قائمة الانتظار لوظيفة APC؟

هل يمكن استخدام مؤشر وظيفة الفراغ في عملية بعيدة؟ (ص / ن)

ما هو استدعاء Windows API البديل الذي استخدمه TrickBot لإنشاء سلسلة محادثات مستخدم جديدة؟

هل كانت تقنيات الحقن التي يستخدمها TrickBot عاكسة؟ (ص / ن)

ما اسم الوظيفة الذي تم استخدامه لكتابة الخطافات يدويًا؟

تجول الفيديو

,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات