windows 终端服务 socket 注入问题

yhuib 2013-03-23 08:23:44

对windows的远程终端服务（进程为svchost.exe）进行远程线程注入，并替换accept和WSAAccept,为什么注入成功但是不起作用呢，测试过对VNC的服务进程注入是可以的啊

...全文

163 1 打赏收藏转发到动态举报

写回复

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

yhuib 2013-03-27

打赏
举报

回复

没人知道怎么hook 远程终端服务的socket吗？

1. 帧注入对于以太网帧和Raw Socket的介绍可参考之前的一篇博文利用Raw Socket进行以太网帧嗅探。帧注入的特点：可以将原数据格式的包注入到网络中。在模拟网络应答方面很强大。原始套接字包结构具有不可延展性。随机注入如果你可以随机注入数据到网络上的话，你就可以向网络上发送任何数据。^_^2. 代码实验进入python运行环境，需要加上root权限。(sudo python)。>&...

1. Raw Socket基础提供了一种方法来绕过整个网络堆栈遍历和直接将以太网帧输送到一个应用程序。有很多种方法来创建raw sockets，例如AF_PACKET,PF_PACKET。这里使用PF_PACKET，它是linux系统上才有的选项，如果是windows或者是mac的系统的话，可以使用AF_PACKET。 1.1 PF_SOCKET在链路层接收和发送包得应用接口。所有接收到的包都包含...

维度传统GUI木马终端行为攻击免杀难度中等（壳、加壳、混淆）高（需规避行为+参数+调用栈）检测粒度文件级（Hash、Signature）行为级（Event Log、Sysmon、WMI）攻击优势快速部署、隐蔽性强无需落地、灵活可控、适合APT防御难点误报率高、更新滞后行为建模复杂、需持续训练💡结论随着EDR厂商不断强化终端行为分析能力（特别是2024年后引入AI驱动的行为基线模型），单纯靠加密或变形已无法满足免杀需求。下一步必须从进程注入、内存加载、行为伪装、时间延迟。

Apache HTTP Server（简称Apache）是全球最流行的开源Web服务器软件之一，以其高稳定性、模块化设计和跨平台支持著称。在Windows环境下，Apache虽非原生服务，但通过官方及第三方维护的Win64移植版本（如ApacheLounge提供的httpd-2.4.x-win64-VS17），实现了良好的运行表现与开发兼容性。Windows版Apache以独立进程方式运行，依赖Visual C++ Redistributable运行库，并支持注册为系统服务，便于长期驻留与管理。

Socket（套接字）是计算机网络编程中的一种抽象概念，它提供了在网络上进行通信的接口。通过使用 Socket，可以在不同计算机之间建立连接，并进行数据的传输和交换。

其它技术问题

3,882

社区成员

9,045

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章