超详细之dll劫持+打包钓鱼详细教程

1.dll能否被劫持：
不再'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs'注册表中
2.其dll是EXE程序首先加载的DLL，而不是依赖其他DLL加载的。
3.DLL确实被加载进内存中

利用进程查看软件，查看dll是否存'KnownDlls'注册表中。
进程查看工具：ProcessExplorer/ProcessMonitor/火绒剑

ProcessExplorer
下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

ProcessMonitor
下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

火绒剑

win7及以上：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

notepad为例：6版本之前的SciLexer.dll存在dll劫持。注册表中没有SciLexer.dll。进程notepad调用到了SciLexer.dll。说明SciLexer.dll可能存在dll劫持。

1.Ratter(虚拟机中出错不知道为啥）
https://github.com/sensepost/rattler/releases

3.dll_hijack_detect
https://github.com/adamkramer/dll_hijack_detect/releases

4.ChkDllHijack
https://github.com/anhkgg/anhkgg-tools

利用自动化验证dll劫持发现sxs.dll可能存在劫持

msf生成dll，弹出计算机。

msfvenom -p windows/exec CMD = calc.exe EXITFUNC=thread -f dll -o sxs.dll

InjectProc --dll注入工具
https://github.com/secrary/InjectProc/releases
InjectProc.exe dll_inj joker.dll notepad.exe

采用方法：shellcode--dll--pe导入dll--nsis重新打包

利用攻击->生成后门->语言类后门->C语言

利用DLL注入攻击工具把shellcode生成dll文件。
会在同目录下生成conf.inf 和wwwcomw.dll两个文件

把上述生成的文件放到需要劫持的目录下。
采用PE查看器，把上述shellcode生成的dll中的函数导入到exePE表中。
把EXE放入到PE查看中-->选择函数-->随便选择一个右键Add New Import
DLL选择->选择函数->添加到列表->输入表列表中选中刚刚添加到内容，最后点击添加即可。

上述完成后，本地劫持完成，这里使用nsis重新打包，进行钓鱼。

源安装包
源文件的ico图标提取。

选择可视化脚步编辑器

安装需求填写

应用程序默认目录，本地安装一次最好，看一下本地默认安装的目录
例如：C:\Program Files (x86)\VPN（本地）
然后修改本地安装了，防止冲突，设置成了VPN1

选择需要打包的目录，把每个字目录选中。

编译成功

打包成功
对比一下，下面为最新打包，上面为源文件，文件大小差距。除了没有数字签名

打包之类成功安装。

成功上线

默认可过火绒，360动态被杀，需要在dll生成进行免杀。