求如何隐蔽的注入一个进程，不要被主动防御发现

看了看相关的资料，发现实用的少的可怜，绝大多数都是CreateRemoteThread
这基本上是找死啊！我个人的一点思路就是

1、运行时不能有进程，主要是为了隐藏以及突破防火墙
2、尽量不要修改注册表启动，可以使用感染PE文件
3、访问网络时不要开端口，移动要使用已有的端口通信
4、尽量不要修改关键的系统文件，比较容易暴露自己

基本流程是：首先感染一些不常见的exe，待exe激活后，枚举正常访问网络的PE文件,如：IE或者防火墙。注入代码到该进程，同时使用端口复用进行通信。在端口复用时候要注意不要被报警了。

最好的方式就是直接将代码写入正常访问网络的PE文件中。需要具体分析目标的访问网络的exe文件，这也是未来的趋势，因为内核越来越难进入了，驱动越来越难加载了，防御软件越来越凶残了；我们唯一安全的做法是针对特定的exe感染，而且该exe最好不要太拉风了，免得防御软件对其进行完整性校验。

当然以上只是我最近的一点想法而已，要具体实施还有太多的细节了，算是一个方向吧
期待大家讨论一下也没有什么好的方式进行进程注入的？不能使用CreateRemoteThread!!!

不过要是能够绕过主动防御软件对CreateRemoteThreadd的监控也不错，不知道大多数的主动防御软件是怎么监控这个API的，不会是HOOK吧？

hook zwopenprocess,zwread/writeprocessmemory,zwcreatethread....etc

郁闷，最近又发现了一个BT的东西，Tiny FireWall
谁能够绕过这玩意，我拜他为师，好BT的东西，我看了一下也是SSDT HOOK了NtOpenProcess,然后只有MD5跟他带的MD5库中相符合的程序才能运行，否则就会警告。
太BT了，还让不让人活啊，这以后还是搞应用开发算了。

总会有人能绕过的，只是当信息公开的时候，也就是方法失效的时候。

我测试了，如果恢复了SSDT，是可以绕过Tiny FireWall，但是关键是我运行恢复SSDT程序的时候他总是唧唧歪歪的，呵呵

Dump句柄即可
想不让他唧唧歪歪得自己想办法 呵呵

QIQI啥意思？

有个P办法？？你在执行前不通过它MD5验证，就没机会执行，没机会执行，你又有P用？？
那玩意想法不错，不过关键是太麻烦，智能化严重不足，虽然我也早实现过，而且能通用于X64下而不触犯PATCHGUARD ，可要做到方便实用，太困难了。

喂！！！楼上的，留个email：boywhp@126.com
我比较崇拜你，呵呵，一直没找到好的师傅

所有的防火墙都是xxx

你不信你看看tiny防火墙，你根本运行不了没认证的程序。看你怎么过防火墙

用那个非常规方法加载驱动,在驱动中恢复SSDT,也许就不叫了.

关键是你总得启动一个进程吧？你启动不了

流氓

貌似插入个u盘就可以了

没用过这个tiny防火墙
有个想法：用已经通过认证的程序启动我们的程序

如果rundll32.exe、regsvr32.exe、IE、regedit.exe中有一个通过认证，应该还有办法加载我们的dll或者ocx吧

估计可以让其以DLL加载，关键是怎么处理加载我们DLL的问题

这个都不会？
很好办，从文件获取SSDT的真是地址，内核直接调用就是了，还有一个变态的方法，就是从文件中读入前面的部分代码，在内存中执行，然后在跳转到真实地址去执行，也可以绕过inline HOOK.