父子进程AESXTEASMC 赛后复盘
💡
原文中文,约17000字,阅读约需41分钟。
📝
内容提要
该文章讨论了一种名为“进程阴影”的技术,利用Windows内核中的缓存同步问题。通过在一个诱饵路径上加载和卸载DLL,然后从新路径加载它,某些Windows API将返回旧路径,可能欺骗安全产品。文章还提到使用IDA分析进程并找到标志。文章提供了AES和XTEA加密和解密的代码片段。文章以一个标志结尾:“flag{2d326e43eb8fea8837737fc0f50f83f2}”。
🎯
关键要点
- 进程重影技术利用Windows内核中的缓存同步问题,导致可执行文件路径与映像节区报告的路径不匹配。
- 通过在诱饵路径上加载和卸载DLL,某些Windows API将返回旧路径,可能欺骗安全产品。
- 主要创建方式是打开新文件并将其挂到删除列表上,关闭文件句柄后文件被删除,但内存中仍有文件映像。
- 使用IDA分析进程可以找到XTEA解密的flag。
- 文章提供了AES和XTEA加密解密的代码片段。
- 最终得到的flag是:flag{2d326e43eb8fea8837737fc0f50f83f2}。
➡️
