Code uitvoeren in het geheugen van een ander proces. Want als notepad.exe verbinding maakt met het internet, valt dat minder op dan je_payload.exe. Niet veel minder. Maar minder.
Bestand
Wat het doet
inject_createremotethread
De klassieker: VirtualAllocEx, WriteProcessMemory, CreateRemoteThread. Het Hello World van process injection. Iedereen begint hier. Sommigen blijven hier. Dat is prima.
inject_dll
DLL injection via LoadLibrary. Je laat een ander proces jouw DLL laden. Het proces heeft er niet om gevraagd. Het proces heeft geen keuze. Het proces is notepad.exe en het heeft nu bijzondere vaardigheden.
inject_hollowing
Process hollowing: een legitiem proces starten, het geheugen leeghalen, en je eigen code erin stoppen. Het is alsof je de motor uit een Volvo haalt en er een Ferrari-motor in zet. De buitenkant ziet er nog steeds uit als een Volvo. Maar hij gaat iets harder.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.