IAmAntimalware:将代码注入到防病毒软件进程的工具
1. 介绍
IAmAntimalware 是一个可以将代码注入到防病毒软件进程的工具。通过克隆合法的防病毒服务(例如 Bitdefender 或 Avast 的服务)来运行,以创建继承提升权限而不会触发警报的相同进程。
该工具修改 HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider 下的 Windows Cryptography API 注册表以劫持加密提供程序,加载用户控制的 DLL 来代替受信任的模块。用户提供原始服务名称、新克隆名称、签名克隆的证书路径和绝对 DLL 路径等参数;可选的“P”标志启用受保护进程轻量级 (PPL) 支持以增强规避能力。为了避免加密劫持的情况,该工具支持 COM 对象 CLSID 操作,需要 TrustedInstaller 权限来欺骗组件加载。签名克隆依赖于配套工具 CertClone,它可以复制有效的 Windows 证书(例如来自 Sysmon 的证书),确保注入的 DLL 在完整性检查中看起来合法。这种多层方法绕过了常见的防病毒保护措施,包括进程自省、提升权限监控和代码签名验证,从而允许注入的代码在受保护的目录中写入文件或执行命令。
2. 命令行语法通过Cryptographic Provider劫持技术P:如果服务支持,则启用 PPL(Protected Processes Light)。CLSID:如果不使用通过Cryptographic Provider进行劫持的技术,则为要劫持的 COM 对象的 CLSID。需要使用 TrustedInstaller 权限执行。
注意: dllPath是绝对路径。
3. GitHub Link
https://github.com/TwoSevenOneT/IAmAntimalware
IAmAntimalware 是一个可以将代码注入到防病毒软件进程的工具。通过克隆合法的防病毒服务(例如 Bitdefender 或 Avast 的服务)来运行,以创建继承提升权限而不会触发警报的相同进程。
该工具修改 HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider 下的 Windows Cryptography API 注册表以劫持加密提供程序,加载用户控制的 DLL 来代替受信任的模块。用户提供原始服务名称、新克隆名称、签名克隆的证书路径和绝对 DLL 路径等参数;可选的“P”标志启用受保护进程轻量级 (PPL) 支持以增强规避能力。为了避免加密劫持的情况,该工具支持 COM 对象 CLSID 操作,需要 TrustedInstaller 权限来欺骗组件加载。签名克隆依赖于配套工具 CertClone,它可以复制有效的 Windows 证书(例如来自 Sysmon 的证书),确保注入的 DLL 在完整性检查中看起来合法。这种多层方法绕过了常见的防病毒保护措施,包括进程自省、提升权限监控和代码签名验证,从而允许注入的代码在受保护的目录中写入文件或执行命令。
2. 命令行语法
IAmAntimalware.exe <originalSVName> <newSVName> <certPath> <dllPath>IAmAntimalware.exe <originalSVName> <newSVName> <certPath> <dllPath> <P>IAmAntimalware.exe <originalSVName> <newSVName> <certPath> <dllPath> <CLSID>注意: dllPath是绝对路径。
3. GitHub Link
https://github.com/TwoSevenOneT/IAmAntimalware
关于作者
评论0次