安全矩阵

 找回密码
 立即注册
搜索
查看: 2417|回复: 0

远控免杀专题(44)-白名单MavInject.exe执行payload

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-3-13 21:00:02 | 显示全部楼层 |阅读模式
文章转自Tide安全团队,原文链接:远控免杀专题(44)
一、MavInject32.exe介绍
MavInject32.exe是微软应用程序虚拟化的一部分,可以直接完成向某一进程注入代码的功能。
64位系统下的文件位置:C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe
有些系统下可能找不到MavInject32.exe,有可能时没有安装offiec365的原因。
由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理,查杀白名单文件都没有任何意义,payload文件的查杀率依赖于对payload的免杀处理,所以这里对白名单程序的免杀效果不做评判。

二、利用MavInject32.exe执行payload


我们先编写一个检测使用的dll,此dll的功能为一加载即弹出提示框提示“警告:您已被注入”。



随便挑选一个运行中的程序,找到其PID记录下来,例如下面的18320。



使用下面的命令进行注入进程。

  1. C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" <PID> /INJECTRUNNING <PATH DLL>
复制代码



可看出dll已被注入到指定进程并运行。


三、参考资料


看雪:https://bbs.pediy.com/thread-223429.htm




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 02:54 , Processed in 0.013147 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表