远控免杀专题(44)-白名单MavInject.exe执行payload

admin 2022年7月6日00:08:22程序逆向评论6 views1034字阅读3分26秒阅读模式
远控免杀专题(44)-白名单MavInject.exe执行payload

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!



声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

一、MavInject32.exe介绍

MavInject32.exe是微软应用程序虚拟化的一部分,可以直接完成向某一进程注入代码的功能。

64位系统下的文件位置:C:Program FilesCommon Filesmicrosoft sharedClickToRunMavInject32.exe

有些系统下可能找不到MavInject32.exe,有可能时没有安装offiec365的原因。

由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理,查杀白名单文件都没有任何意义,payload文件的查杀率依赖于对payload的免杀处理,所以这里对白名单程序的免杀效果不做评判。

二、利用MavInject32.exe执行payload

我们先编写一个检测使用的dll,此dll的功能为一加载即弹出提示框提示“警告:您已被注入”。

远控免杀专题(44)-白名单MavInject.exe执行payload

随便挑选一个运行中的程序,找到其PID记录下来,例如下面的18320。

远控免杀专题(44)-白名单MavInject.exe执行payload

image

使用下面的命令进行注入进程。

C:Program FilesCommon Filesmicrosoft sharedClickToRunMavInject32.exe" <PID> /INJECTRUNNING <PATH DLL>

远控免杀专题(44)-白名单MavInject.exe执行payload

image

可看出dll已被注入到指定进程并运行。

三、参考资料

看雪:https://bbs.pediy.com/thread-223429.htm




E


N


D




远控免杀专题(44)-白名单MavInject.exe执行payload


guān


zhù



men



Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(44)-白名单MavInject.exe执行payload


远控免杀专题(44)-白名单MavInject.exe执行payload


原文始发于微信公众号(白帽子):远控免杀专题(44)-白名单MavInject.exe执行payload

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日00:08:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  远控免杀专题(44)-白名单MavInject.exe执行payload http://cn-sec.com/archives/1157768.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: