当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
0x02 利用MavInject32.exe执行payload
0x01 MavInject32.exe介绍
MavInject32.exe是微软应用程序虚拟化的一部分,可以直接完成向某一进程注入代码的功能。
64位系统下的文件位置:C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe
有些系统下可能找不到MavInject32.exe,有可能时没有安装offiec365的原因。
由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理,查杀白名单文件都没有任何意义,payload文件的查杀率依赖于对payload的免杀处理,所以这里对白名单程序的免杀效果不做评判。
0x02 利用MavInject32.exe执行payload
我们先编写一个检测使用的dll,此dll的功能为一加载即弹出提示框提示“警告:您已被注入”。
随便挑选一个运行中的程序,找到其PID记录下来,例如下面的18320。
使用下面的命令进行注入进程。
C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" <PID> /INJECTRUNNING <PATH DLL>可看出dll已被注入到指定进程并运行。
参考链接:
看雪:https://bbs.pediy.com/thread-223429.htm
虽然我们生活在阴沟里,但依然有人仰望星空!