Bamboleo Опубликовано 9 августа, 2018 Опубликовано 9 августа, 2018 - Поддержка x86 и x64 процессов и модулей - Функция впрыска в режиме ядра (требуется драйвер) - Ручная карта драйверов ядра (требуется драйвер) - Инъекции чистого управляемых изображений без прокси -dll -Windows 7 кросс -сессии и кросс -desktop инъекции - Инъекция в собственные процессы (те, которые имеют только ntdll загружен) - Вызов пользовательской процедуры инициализации после инъекции - Отсоединение модуля после впрыска - Впрыска используя угон резьбы - Инжекция изображений x64 в процесс WOW64 - Отображение изображения вручную - Профили впрыски Особенности карты вручную: - Перемещения, импорт, задержанный импорт, связанный импорт - Статические обратные вызовы TLS и TLS - Файлы cookie безопасности - Манифесты изображений и SxS - Сделать видимыми модуль GetModuleHandle, GetProcAddress и т. д. - Поддержка исключений в частной памяти при DEP - Поддерживаются образы C++/CLI (в этом случае используйте ' Add loader reference) Возможности карты ядра в ручном режиме в основном идентичны пользовательскому режиму с некоторыми исключениями: - Нет поддержки обработки исключений C++ для образов x64 (только SEH) - Отсутствие статического TLS - Отсутствие родной совместимости затяжелителя - Ограниченное разрешение пути зависимости. Только схема набора API, SxS, целевой исполняемый каталог и системный каталог Поддерживаемые ОС: Win7-Win10 x64 Примечание: Инжектор имеет 2 версии - x86 и x64. Помимо очевидных функций, x86 версия поддерживает закачку 64-разрядных изображений в 64-разрядных процессов; х64 поддерживает инжектор впрыска x86 и x64 образы в эмуляторе wow64 процессов. Однако это справедливо только для изображений в машинном коде. Если вы хотите внедрить чистую управляемую dll - используйте ту же версию инжектора, что и целевой процесс. Внедрение x64 образов в процесс WOW64 совершенно непредсказуемо. Если вы хотите сделать это, я бы рекомендовал использовать ручное сопоставление с опцией ручного импорта, потому что в этом случае native loader более ошибочен, чем моя реализация (особенно в windows 7). Ограничения: - Вы не можете внедрить 32-битные изображения в 64-разрядный процесс - Использовать x86 версию, чтобы вручную сопоставить 32-битные изображения и x86 версии к карте 64 битных изображений - Вы не можете вручную отображать чистые управляемые изображения, для них поддерживается только встроенная инъекция - Может не работать должным образом на версиях x86 ОС - Внедрение ядра поддерживается только в 64-разрядных операционных системах и требует тестового режима подписи драйвера. Выбор процесса: Существующий -выберите существующий процесс из списка Нов -новый процесс будет запущен перед впрыской Ручной запуск -после нажатия кнопки "Inject" инжектор будет ожидать запуска целевого процесса Изображения: Список изображений, которые вы хотите ввести Добавить -добавить новое изображение в список. Перетаскивания также поддерживается Удалить-удалить выбранное изображение Clear-очистить список изображений Расширенные опции: Тип впрыска: Родной впрыснуть - общий подход, используя LoadLibraryW \ LdrLoadDll в вновь созданной или уже существующей теме Ручная карта-ручное копирование данных изображения в память целевого процесса без создания объекта-сечения Ядра(Новый поток) - ZwCreateThreadEx режиме ядра в LdrLoadDll. Использует драйвер Kernel (APC) - режим ядра APC в LdrLoadDll. Использует драйвер Kernel (Manual map) - отображение ядра вручную. Использует драйвер Собственные параметры загрузчика: Модуль отключить - после инъекции, отсоединить модуль от InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList, HashLinks и LdrpModuleBaseAddressIndex. Стирание ПЭ-после впрыски, заголовков ПЭ стирания Use existing thread-LoadLibrary и init подпрограмма будут выполняться в контексте случайного невозмущенного потока. Параметры карты вручную: Добавить ссылку на загрузчик-Вставить запись модуля в InMemoryOrderModuleList / LdrpModuleBaseAddressIndex и HashLinks. Функций модуля (например, GetModuleHandle, GetProcAddress) работа с вручную сопоставить изображения. Вручную разрешить импорт-импорт изображений и задержки импорта библиотеки dll будут также вручную сопоставлены вместо загрузки с помощью LdrLoadDll. Wipe headers-стирать информацию о заголовке модуля после инъекции. Также влияет на вручную сопоставленный импорт. Игнорировать TLS - не обрабатывать статические данные TLS образа и вызывать обратные вызовы TLS. Нет поддержки исключений не создавать собственные обработчики исключений, которые позволяют вне изображения поддержка исключений в DEP. Скрыть память памяти видна как PAGE_NO_ACESS в памяти запроса командная строка: Аргументы командной строки процесса Процедура инициализации: Если вы вводите собственное (не чистое IL) изображение, это имя экспортируемой функции, которая будет вызвана после инъекции. Этот экспорт называется функцией void (__stdcall*) (wchar_t*). Если вы вводите чистый управляемый образ, это имя открытого метода, который будет выполняться с помощью ICLRRuntimeHost:: ExecuteInDefaultAppDomain. Параметр init : Строка, которая передается в подпрограмму инициализации Закрыть после инъекции: Закройте инжектор после успешной инъекции Вводить задержку: Задержка перед началом закачки Впрысните интервал: Задержка между каждым изображением Меню опции: Профили - >профиль впрыска нагрузки Профили->сохранить - сохранить текущие настройки в профиль Сервис - >извлечь модули-открыть диалог извлечения модуля Сервис->защитить себя - сделать процесс injector защищены (требуется драйвер ) Опция командной строки: -- load <profile_path> - запустить инжектор и загрузить целевой профиль, указанный <profile_path> --запустить <profile_path> - imeddiately выполнить профиль, заданный по <profile_path> без GUI Методы внедрения ядра требуют запуска системы в тестовом режиме. Скачать Mail Скачать ЯДиск Пароль на архив: 778899 1
Рекомендуемые сообщения