power shell可以调用Windows的api。这使我们能够在PowerShell脚本中实现内存中注入然后执行脚本而不是PE,可以绕过一些杀毒软件,即使脚本被标记为恶意脚本,也可以轻松对其进行更改。杀毒软件通常会查看变量名,注释和逻辑,而不会重新编译任何内容,就可以更改所有变量名,注释和逻辑可以绕过一些杀毒软件。

进程注入是将任意代码写入已经运行的进程中并执行,可以用来逃避检测对目标目标进程中的敏感信息进行读/写/执行访问,还可以更改该进程的行为。

通过LoadLibrary注入DLL

.dll,动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码和数据的库。

Dll不能直接运行,应用在从DLL调用函数的方法之一是通过运行时动态链接,即将DLL加载到程序的进程空间中以便可以调用其导出的函数时。

- 阅读剩余部分 -