[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护

发表于: 2018-9-20 08:36 47337

[分享]绝对牛逼哄哄的shellcode内存注入,支持64,32,远程内存注入,支持VMP壳最大强度保护

游乐娃子

2018-9-20 08:36

47337

论坛上内存注入的帖子不止三两个,来来去去也就那样.

再给新手说下shellcode提取,要设置项目属性->C/C++->代码生成->安全检查=禁用安全检查.

项目本身就设置好了,直接用就行了.

无非抄来抄去说原创.

我也是抄的,不敢说原创,但是牛逼还是说的过去.

支持注入任意进程,包括csrss,前提是你能有读写进程内存的权限.

看到MemLoadLibrary2注释的人,如果觉得有点熟悉,那你一定老了.

哈哈哈,因为这个MemLoadLibrary2的原型,没记错的话,应该是2009年以前的一个memoryloaddll.具体是谁写的我也不懂了.

包括现在的论坛上出现的各种MemoryLoad,我基本上都能看到这个 memoryloaddll的身影.

整体源码很简单,就两个文件,loader2.h和MainLoad.cpp.

loader2.h 是主要功能,包含:

MemLoadLibrary2 ()//为了方便提取shellcode,把重定位修复什么的都写到了这一个函数里面去了,而且只有一个return 返回;

同时为了能实现注入csrss.exe,把所有的Windows API 都弄成了NTDLL的API.

MainLoad.cpp是调用例子,里面包含:

SaveShellCode();//提取shellcode写到文件.

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

MemoryLoadDll.rar （8.44kb，4185次下载）

收藏・209

免费・16

支持

最新回复 (70) 1 2 3 ▶
游乐娃子雪币： 8397 活跃值： (6323) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 2 楼 //释放掉申请的内存 VirtualFreeEx(hProcess, pAddress, 0, MEM_FREE); 刚刚写错了个东西. 2018-9-20 08:55 1
芃杉雪币： 36 活跃值： (1161) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 108 粉丝 1 关注私信	芃杉 3 楼 mark,楼主辛苦 2018-9-20 09:08 0
youxiaxy 雪币： 2049 活跃值： (2082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 4 关注私信	youxiaxy 4 楼 mark,楼主辛苦 2018-9-20 10:36 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 5 楼看到标题我以为你能把VM后的PE 某个特定代码提取成shellcode注入确实牛逼哄哄的结果一看... 好吧就是注入个DLL 只是自己重定位而已... 而且处理也比较简单但是楼主说牛逼哄哄那就哄哄吧!!! 2018-9-20 10:46 0
ccj 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 59 粉丝 1 关注私信	ccj 6 楼 441K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6$3j5i4y4U0L8K6t1H3x3e0k6Q4x3V1k6K6K9r3g2D9L8s2y4H3L8r3!0A6N6q4)9J5k6r3k6J5j5h3#2W2N6$3!0J5K9H3`.`. 类似这个吗？ 2018-9-21 20:08 0
wonderzdh 雪币： 61 活跃值： (1046) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 7 楼看了一下代码，展开内存，修重定位，填导入表，并且本身几乎零依赖，一套带走。可以的 2018-9-21 20:58 0
游乐娃子雪币： 8397 活跃值： (6323) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 8 楼 syser 看到标题我以为你能把VM后的PE 某个特定代码提取成shellcode注入确实牛逼哄哄的结果一看... 好吧就是注入个DLL 只是自己重定位而已... 而且处理也比较简单但是楼主说牛逼 ... 这套源码,原本使用起来就很方便,嵌入其他项目也很简单,动点脑子,处理下多余的信息,过任何注入检测没毛病. 有脑子的自然会用,没脑子的,也就这样. 2018-9-22 00:21 0
jgs 雪币： 9802 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 461 粉丝 7 关注私信	jgs 9 楼收下学习，谢谢楼主提供 2018-9-22 08:17 0
小号巴顿雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	小号巴顿 10 楼怎么用，有三方dll 2018-9-22 08:19 0
xie风腾雪币： 13530 活跃值： (6208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1079 粉丝 6 关注私信	xie风腾 11 楼多谢楼主分享哟 2018-9-22 09:36 0
Rookietp 雪币： 1047 活跃值： (655) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 800 粉丝 2 关注私信	Rookietp 12 楼 mark . 代码比较容易理解. 2018-9-22 11:19 0
fengyunabc 雪币： 4064 活跃值： (4402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 13 楼感谢分享！ 2018-9-22 21:14 0
化魔雪币： 49 活跃值： (271) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 14 楼留个脚印！看来楼主有过注入检测的办法了，为什么不分享学习呢。 2018-9-23 16:14 0
靴子雪币： 33 活跃值： (653) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 533 粉丝 1 关注私信	靴子 15 楼 mark,楼主辛苦 2018-9-23 16:28 0
aimhack 雪币： 625 活跃值： (596) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 81 粉丝 18 关注私信	aimhack 16 楼 mark 2018-9-23 23:35 0
开花的水管雪币： 1535 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 358 粉丝 2 关注私信	开花的水管 17 楼 mark 2018-9-25 15:38 0
StriveXjun 雪币： 1044 活跃值： (1385) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 18 楼没看到啥牛逼哄哄的东西。。。只是向远程进程写了个内存加载的shellcode 和需要内存加载DLL，然后创建个远线调用了。 2018-9-25 15:43 0
小青峰雪币： 160 活跃值： (267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 1 关注私信	小青峰 19 楼 mark 2018-9-25 16:11 0
rockhard 雪币： 441 活跃值： (154) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 20 楼留个脚印，备不时之需 2018-9-25 18:04 0
青云之子雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	青云之子 21 楼留下脚印 2018-9-25 18:54 0
kellygod 雪币： 2 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kellygod 22 楼 mark 2018-9-25 19:26 0
yangsuai 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	yangsuai 23 楼这个win10远线注入也支持么? 2018-9-25 19:30 0
ricroon 雪币： 15 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 59 粉丝 1 关注私信	ricroon 24 楼感谢好好研究一下 2018-9-25 22:42 0
MRRighter 雪币： 8 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 1 关注私信	MRRighter 25 楼牛逼 6666 2018-9-27 12:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

游乐娃子

发帖

252

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (70) 1 2 3 ▶
游乐娃子雪币： 8397 活跃值： (6323) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 2 楼 //释放掉申请的内存 VirtualFreeEx(hProcess, pAddress, 0, MEM_FREE); 刚刚写错了个东西. 2018-9-20 08:55 1
芃杉雪币： 36 活跃值： (1161) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 108 粉丝 1 关注私信	芃杉 3 楼 mark,楼主辛苦 2018-9-20 09:08 0
youxiaxy 雪币： 2049 活跃值： (2082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 4 关注私信	youxiaxy 4 楼 mark,楼主辛苦 2018-9-20 10:36 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 5 楼看到标题我以为你能把VM后的PE 某个特定代码提取成shellcode注入确实牛逼哄哄的结果一看... 好吧就是注入个DLL 只是自己重定位而已... 而且处理也比较简单但是楼主说牛逼哄哄那就哄哄吧!!! 2018-9-20 10:46 0
ccj 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 59 粉丝 1 关注私信	ccj 6 楼 441K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6$3j5i4y4U0L8K6t1H3x3e0k6Q4x3V1k6K6K9r3g2D9L8s2y4H3L8r3!0A6N6q4)9J5k6r3k6J5j5h3#2W2N6$3!0J5K9H3`.`. 类似这个吗？ 2018-9-21 20:08 0
wonderzdh 雪币： 61 活跃值： (1046) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 7 楼看了一下代码，展开内存，修重定位，填导入表，并且本身几乎零依赖，一套带走。可以的 2018-9-21 20:58 0
游乐娃子雪币： 8397 活跃值： (6323) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 8 楼 syser 看到标题我以为你能把VM后的PE 某个特定代码提取成shellcode注入确实牛逼哄哄的结果一看... 好吧就是注入个DLL 只是自己重定位而已... 而且处理也比较简单但是楼主说牛逼 ... 这套源码,原本使用起来就很方便,嵌入其他项目也很简单,动点脑子,处理下多余的信息,过任何注入检测没毛病. 有脑子的自然会用,没脑子的,也就这样. 2018-9-22 00:21 0
jgs 雪币： 9802 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 461 粉丝 7 关注私信	jgs 9 楼收下学习，谢谢楼主提供 2018-9-22 08:17 0
小号巴顿雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	小号巴顿 10 楼怎么用，有三方dll 2018-9-22 08:19 0
xie风腾雪币： 13530 活跃值： (6208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1079 粉丝 6 关注私信	xie风腾 11 楼多谢楼主分享哟 2018-9-22 09:36 0
Rookietp 雪币： 1047 活跃值： (655) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 800 粉丝 2 关注私信	Rookietp 12 楼 mark . 代码比较容易理解. 2018-9-22 11:19 0
fengyunabc 雪币： 4064 活跃值： (4402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 13 楼感谢分享！ 2018-9-22 21:14 0
化魔雪币： 49 活跃值： (271) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 14 楼留个脚印！看来楼主有过注入检测的办法了，为什么不分享学习呢。 2018-9-23 16:14 0
靴子雪币： 33 活跃值： (653) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 533 粉丝 1 关注私信	靴子 15 楼 mark,楼主辛苦 2018-9-23 16:28 0
aimhack 雪币： 625 活跃值： (596) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 81 粉丝 18 关注私信	aimhack 16 楼 mark 2018-9-23 23:35 0
开花的水管雪币： 1535 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 358 粉丝 2 关注私信	开花的水管 17 楼 mark 2018-9-25 15:38 0
StriveXjun 雪币： 1044 活跃值： (1385) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 18 楼没看到啥牛逼哄哄的东西。。。只是向远程进程写了个内存加载的shellcode 和需要内存加载DLL，然后创建个远线调用了。 2018-9-25 15:43 0
小青峰雪币： 160 活跃值： (267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 1 关注私信	小青峰 19 楼 mark 2018-9-25 16:11 0
rockhard 雪币： 441 活跃值： (154) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 20 楼留个脚印，备不时之需 2018-9-25 18:04 0
青云之子雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	青云之子 21 楼留下脚印 2018-9-25 18:54 0
kellygod 雪币： 2 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kellygod 22 楼 mark 2018-9-25 19:26 0
yangsuai 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	yangsuai 23 楼这个win10远线注入也支持么? 2018-9-25 19:30 0
ricroon 雪币： 15 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 59 粉丝 1 关注私信	ricroon 24 楼感谢好好研究一下 2018-9-25 22:42 0
MRRighter 雪币： 8 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 1 关注私信	MRRighter 25 楼牛逼 6666 2018-9-27 12:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复