声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
一、MavInject32.exe介绍
MavInject32.exe是微软应用程序虚拟化的一部分,可以直接完成向某一进程注入代码的功能。
64位系统下的文件位置:C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe
有些系统下可能找不到MavInject32.exe,有可能时没有安装offiec365的原因。
由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理,查杀白名单文件都没有任何意义,payload文件的查杀率依赖于对payload的免杀处理,所以这里对白名单程序的免杀效果不做评判。
二、利用MavInject32.exe执行payload
我们先编写一个检测使用的dll,此dll的功能为一加载即弹出提示框提示“警告:您已被注入”。
随便挑选一个运行中的程序,找到其PID记录下来,例如下面的18320。
image使用下面的命令进行注入进程。
C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" /INJECTRUNNING
image可看出dll已被注入到指定进程并运行。
三、参考资料
看雪:https://bbs.pediy.com/thread-223429.htm
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
