在Quan的上上篇,介绍了一种白文件DLL注入的事:滥用带有签名的DLL注入程序 有大哥发出了一些挖掘思路: 他发现了obs-studio中的一个DLL注入程序,并且该程序自带混淆 之后逆向了一下,找到了这个程序的使用方式:1. inject-helper64.exe dllname 1 target_threadid inject-helper64.exe dllname 0 target_pid最后,授人以鱼不如授人以渔,给出了一些类型,让我们自由探索挖掘1.进程行为监控类软件 2.屏幕、桌面录制、窗口识别、截屏类 3.商业远控类型 4.进程内存管理、搜索、调试类那么另外一个星球的大哥也是放出了一个程序,就是Bandizip\data下的RegDll这个程序,双击会出现它的使用方式,比较好的是,这个似乎可以指定调用某DLL的函数RegDll32.exe /calldll DllPathName,DllFunctionName