當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x02 利用MavInject32.exe執行payload
0x01 MavInject32.exe介紹
MavInject32.exe是微軟應用程序虛擬化的一部分,可以直接完成向某一進程注入代碼的功能。
64位系統下的文件位置:C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe
有些系統下可能找不到MavInject32.exe,有可能時沒有安裝offiec365的原因。
由於白名單加載payload的免殺測試需要結合殺軟的行爲檢測才合理,查殺白名單文件都沒有任何意義,payload文件的查殺率依賴於對payload的免殺處理,所以這裏對白名單程序的免殺效果不做評判。
0x02 利用MavInject32.exe執行payload
我們先編寫一個檢測使用的dll,此dll的功能爲一加載即彈出提示框提示“警告:您已被注入”。
隨便挑選一個運行中的程序,找到其PID記錄下來,例如下面的18320。
使用下面的命令進行注入進程。
C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" <PID> /INJECTRUNNING <PATH DLL>
可看出dll已被注入到指定進程並運行。
參考鏈接:
看雪:https://bbs.pediy.com/thread-223429.htm
雖然我們生活在陰溝裏,但依然有人仰望星空!