代码注入到杀毒软件的进程

admin 2026-02-17 19:37:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档介绍了一款名为IAmAntimalware.exe的工具,旨在实现将代码注入杀毒软件进程。内容涵盖了该工具的命令行语法,包括基本服务替换、加密提供程序劫持以及COM对象劫持三种技术路径,并提及了PPL受保护进程轻量级模式与TrustedInstaller权限的使用,为红队渗透测试中的免杀与权限维持提供了具体操作指导。 综合评分: 65 文章分类: 免杀,红队,安全工具,内网渗透


cover_image

代码注入到杀毒软件的进程

TtTeam

2026年2月16日 08:46 广东

命令行语法

IAmAntimalware.exe&nbsp;<originalSVName>>><newSVName<certPath<dllPath

通过加密提供商进行劫持技术

IAmAntimalware.exe&nbsp;<originalSVName>>>><newSVName<certPath<dllPath<P

P:如果服务支持,请启用 PPL(受保护进程轻量级)。

IAmAntimalware.exe&nbsp;<originalSVName>>>><newSVName<certPath<dllPath<CLSID

CLSID:如果未使用通过加密提供程序进行的劫持技术,则此为要劫持的 COM 对象的 CLSID。它需要以 TrustedInstaller 权限执行。

注意: dllPath 是绝对路径。

防丢失


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:TtTeam 《代码注入到杀毒软件的进程》

评论:0   参与:  0