安全矩阵

 找回密码
 立即注册
搜索
查看: 4292|回复: 0

一款针对DLL劫持的恶意DLL生成器

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-8-4 15:05:23 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-8-4 15:06 编辑

原文链接:一款针对DLL劫持的恶意DLL生成器

EvilDLL


EvilDLL是一款专门针对DLL劫持攻击而开发并设计的恶意DLL(反向Shell)生成器。
DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行,这个过程用个形象的词来描述就是系统DLL被劫持了。



功能介绍

1、使用Ngrok.io实现反向TCP端口转发;
2、自定义端口转发选项(LHOST、LPORT);
3、包含了DLL劫持样本(Half-Life(半条命)启动文件);
4、已在Windows 7(7601)和Windows 10平台上测试;

工具要求
Mingw-w64编译器:
  1. apt-get install mingw-w64
复制代码
Ngork认证令牌(TCP隧道需要使用到):
  1. https://ngrok.com/signup
复制代码
你的认证令牌Authtoken需要在仪表盘中可访问:
  1. https://dashboard.ngrok.com
复制代码
安装你的认证令牌:
  1. ./ngrok authtoken <YOUR_AUTHTOKEN>
复制代码

工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/thelinuxchoice/evildll
复制代码

工具使用
满足上述工具运行条件之后,就可以使用下列命令运行EvilDLL了:

  1. cd evildll
  2. bash evildll.sh
复制代码

工具运行截图


项目地址
EvilDLL:【GitHub传送门】
参考来源
https://github.com/thelinuxchoice/evildll







回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 04:43 , Processed in 0.012535 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表