[原创]一个可用于[注入DLL]的调用64位远程进程中的函数的通用命令行程序-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个可用于[注入DLL]的调用64位远程进程中的函数的通用命令行程序

发表于: 2017-1-19 16:12 4824

[原创]一个可用于[注入DLL]的调用64位远程进程中的函数的通用命令行程序

xyzzf

2017-1-19 16:12

4824

支持两种模式，使用CreateRemoteThread或RtlCreateUserThread+RtlExitUserThread
8d4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5h3I4^5z5e0W2Q4x3V1k6%4L8%4M7$3y4r3S2W2L8s2m8W2M7R3`.`.
cadK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Q4x3X3g2G2M7$3y4Z5K9h3&6S2i4K6u0W2L8X3g2@1i4K6u0r3K9r3q4D9P5o6V1&6i4K6u0r3N6$3!0%4y4U0c8Z5k6h3I4H3k6i4t1`.

用法：用VS2015编译为64位exe

wow64helper.exe Option PID OSModuleName ModuleProcName paramsTypes [parameters]...

Option:
0: CreateRemoteThread, 1: RtlCreateUserThread + RtlExitUserThread

paramsTypes:
u64 --> uint64_t or nullptr
s --> string
ws --> wstring
us --> UNICODE_STRING

示例:
0 13220 kernel.dll LoadLibraryW ws D:\dummy.dll
1 13220 ntdll.dll LdrLoadDll u64;u64;us;s 0 0 D:\dummy.dll 12345678

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・8

免费・0

支持

最新回复 (2)
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2 楼 1 13220 ntdll.dll LdrLoadDll u64;u64;us;s 0 0 D:\dummy.dll 12345678 没看懂啊 2017-1-19 21:03 0
xyzzf 雪币： 17 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	xyzzf 3 楼 1 13220 ntdll.dll LdrLoadDll u64;u64;us;s 0 0 D:\dummy.dll 12345678 意思是使用RtlCreateUserThread + RtlExitUserThread的方式创建远程线程调用进程Id为13220的LdrLoadDll函数注入DLL 2017-2-5 13:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xyzzf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区