在Quan的上上篇,介绍了一种白文件DLL注入的事:滥用带有签名的DLL注入程序 有大哥发出了一些挖掘思路: 他发现了obs-studio中的一个DLL注入程序,并且该程序自带混淆 之后逆向了一下,找到了这个程序的使用方式:1. inject-helper64.exe dllname 1 target_threadid inject-helper64.exe dllname 0 target_pid最后,授人以鱼不如授人以渔,给出了一些类型,让我们自由探索挖掘1.进程行为监控类软件 2.屏幕、桌面录制、窗口识别、截屏类 3.商业远控类型 4.进程内存管理、搜索、调试类那么另外一个星球的大哥也是放出了一个程序,就是Bandizip\data下的RegDll这个程序,双击会出现它的使用方式,比较好的是,这个似乎可以指定调用某DLL的函数RegDll32.exe /calldll DllPathName,DllFunctionName
倾璇在这篇文章中提供了非常好的示例,用以讲述这个DLL注入器的一些东西,感觉可以试着自己挖掘一下,说不定会有惊喜!
老哥最终还是选择开源了,其实之前一直在看,但是没有过多的学习,最近因为项目上的原因,准备多搞几套免杀方案/维权方案之类的,所以这些东西通通提上日程! go-dll-hiject.zip
最近Typora <1.6.7会有RCE问题,并且目前官网的最新版本就是1.6.7,所以找了一个最新的破解版,打开恶意Markdown也不会RCE了。 Typora1.6.7按照包下载 破解补丁winmm.dll放在安装目录 Typora RCE威胁情报 最后再推荐一个发现的很好看的一个主题:dyzj
特点如下: Indirect Syscall Using Exception Directory to get SSNs Mask Syscall Stub in static file Dynamic decrypt stub and make Call 回来再详细看一下,学习一下