探索ExecuteAssembly:强大的.NET程序注入工具

于 2024-05-20 10:06:58 发布
阅读量350 收藏 8
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00032/article/details/139057828
版权

探索ExecuteAssembly:强大的.NET程序注入工具

项目简介

ExecuteAssembly是一个创新的开源项目,由C/C++编写,为安全研究者和开发者提供了一种替代CS执行汇编的方法。这个工具能加载并注入.NET程序集,通过一系列高级技术来绕过防护机制,包括重新使用主机进程的CLR模块、删除与.NET相关的模块链接、避开ETW和AMSI检测、避免EDR钩子,并且隐藏API导入。

技术剖析

ExecuteAssembly的核心特性包括:

  1. 模块解链:从PEB数据结构中解除对.NET相关模块(如CLR和MsCoree)的链接。
  2. 头文件篡改:修改.NET程序集和反射DLL的PE DOS头信息,使其难以被识别。
  3. 静态系统调用:在x64平台上,使用静态预定义的系统调用来规避EDR挂钩。
  4. 枚举并重用AppDomain:利用ICLRMetaHost接口遍历已加载的运行时,以便在现有.NET进程中加载新的程序集。
  5. 动态API解析:借助PEB中的超级快哈希算法动态解析WIN32 API地址。
  6. AMSI和ETW禁用:在加载.NET程序集之前,预先修补AMSI和事件跟踪日志记录。

应用场景

ExecuteAssembly适用于多种安全测试和恶意软件分析环境,包括但不限于:

  • 安全研究人员测试绕过防御策略的实验。
  • 开发者调试.NET程序或进行代码注入。
  • 系统管理员监控应用程序行为,以检测潜在的安全风险。

项目特点

  1. 跨平台兼容性:支持x64和x86架构,可在多种操作系统环境下工作。
  2. 灵活的选项:提供了多种命令行选项,让用户可以根据具体需求选择是否禁用AMSI、ETW,或者对PE头进行篡改等。
  3. 高性能:通过静态系统调用和动态API解析实现高速执行。
  4. 可扩展性:项目仍在持续开发中,计划增加更多功能,例如支持更大的.NET程序集大小。

使用方法

ExecuteAssembly的使用相当简单,只需通过命令行指定.NET程序集、参数以及所需的行为。项目还附带了一个Cobalt Strike的Aggressor脚本,使得集成到C2框架中变得更加便捷。

总之,ExecuteAssembly是.NET程序注入领域的一颗璀璨明珠,它的强大功能和灵活性将为您的项目增添无尽的可能性。无论是为了学术研究还是实际操作,都值得一试。立即加入社区,探索这款工具的潜力吧!

黎杉娜Torrent
关注
注入.net DLL至任意进程(附源码)
12-02
注入.net DLL至任意进程(附源码)
Execute-Assembly(2)
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-11 618
根据之前的Execute-Assembly的实现原理,可以预测到Execute-Assembly主要有3个检测点。第一个检测点是加载CLR环境,第二个检测点是加载程序集,第三个检测点在于执行入口点的地方。在我看来,第一第二个检测点是比较好实现的。
C#版DLL注入
06-29
C# DLL注入,可将DLL注入进程中 C#版的比较难找,这里发布以下
.netcore 如何获取系统中所有session_.net core 依赖注入: 什么是控制反转,什么是依赖注入,什么是容器, autofac 简单使用...
weixin_39962356的博客
11-24 198
综述ASP.NET Core 支持依赖注入, 也推荐使用依赖注入.主要作用是用来降低代码之间的耦合度.什么是控制反转?控制反转(Inversion of Control,缩写为IoC),是面向对象编程中的一种设计原则,可以用来减低计算机代码之间的耦合度。其中最常见的方式叫做"依赖注入"(Dependency Injection,简称DI),还有一种方式叫"依赖查找"(Depende...
C#程序Assembly
james_zgw的专栏
08-13 538
一、Assembly 1.创建一个应用程序域application domain AppDomain d = AppDomain.CreateDomain("MyDomain"); Console.WriteLine(AppDomain.CurrentDomain.Frie
ExecuteAssembly:LoadInject .NET程序集由; 重用主机(spawnto)进程加载的CLR AppDomainManager,重载Loader.NET程序集PE DOS标头,取消链接.NET相关模块,绕过ETW + AMSI,避免通过NT静态系统调用(x64)进行EDR钩子并通过动态解析API(哈希)来隐藏导入)
03-30
ExecuteAssembly是使用C / C ++构建的CS执行程序集的一种替代方法,它可用于通过以下方式加载/注入.NET程序集; 重用主机(spawnto)进程加载的CLR模块/ AppDomainManager,重载Loader / .NET程序集PE DOS标头,...
.NET Core 3.0 reference mannual.pdf
11-12
12. ExecuteAssembly:执行指定程序集中的入口点。 13. FriendlyName:用于识别应用程序域的友好名称。 14. GetAssemblies:获取当前应用程序域中的所有程序集。 15. GetData:获取与特定键关联的AppDomain数据。...
.NET Core 3.0 参考手册:离线API宝典
`Assembly`类提供了`GetAssemblies`获取当前应用程序域中的所有程序集,`ExecuteAssembly`执行指定的程序集,`Load`加载程序集等方法。 3. `EventHandler`和`Delegate`相关的类型:如`Action<T>`、`Action, T2>`等...
如何在 .NET 库的代码中判断当前程序运行在 Debug 下还是 Release 下
walterlv - 吕毅
07-05 3028
我们经常会使用条件编译符 #if DEBUG 在 Debug 下执行某些特殊代码。但是一旦我们把代码打包成 dll,然后发布给其他小伙伴使用的时候,这样的判断就失效了,因为发布的库是 Release 配置的;那些 #if DEBUG 的代码根本都不会编译进库中。然而总有时候希望在库中也能得知程序是 Debug 还是 Release,以便库发布之后也能在 Debug 下多做一些检查。 那么有办法得...
.Net应用程序
剑挥清风指明月·笔走狂澜舞镹天
12-03 785
一、什么是应用程序域?应用程序域是一个逻辑容器,它允许多个程序集在同一个进程内进行,但会组织它们直接访问属于其他程序的内存,此外应用程序域还提供了错误隔离机制,这是因为未处理的异常不会影响到其他应用程序域。所以在其他应用程序域的应用程序可以不受干扰地继续运行! 使用应用程序域有什么好处?1.应用程序域的优势在于,每个应用程序都可以分配一个不同的安全访问级别,(即使它和其他应用程序域都运行在一个进程中
如何卸载microsoft .net framework 4_从内存加载.NET程序集(executeassembly)的利用分析
weixin_39823676的博客
12-03 557
0x00 前言Cobalt Strike 3.11中,加入了一个名为"execute-assembly"的命令,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽,而且现有的Powershell利用脚本能够很容易的转换为C#代码,十分方便。本文将会对"execute-assembly"的原理进行介绍,结合多个开源代码,介绍实现方法,分析利用思路,最后给出防御建议。0x...
AppDomain . ExecuteAssemblyExecuteAssemblyByName方法使用
weixin_34220179的博客
10-10 138
AppDomain oDownLoadDoMain = AppDomain.CreateDomain("DownLoadDoMain", null); 利用下面的方法回报错:oDownLoadDoMain.ExecuteAssembly("SmApp.ProgramUpdate.exe");错误信息:“An unhandled exception of type 'System.IO.FileN...
C# dll注入(指定进程注入指定dll)
LYSM
03-30 5983
原文出处:https://www.cnblogs.com/lonelyxmas/p/5088028.html 直接上代码:(亲测可用) using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.L...
.NET的DLL注入后怎么执行
weixin_33743248的博客
12-02 1029
为什么要写这篇文章 1,如果你想注入带窗体的dll,C#写界面比C++容易的多; 2,或许你想利用.net的某些功能,比如利用.Net Remoting从外部控制被注入的dll; 3,或许你是一个C#程序员,使用C#的时候总感觉更舒适些,比如笔者。同时,你希望必要时也能在宿主中调用C++函数,提供更大的灵活性,本文的方法也能做到。 注入托管dll的不同之处 首先,为什么托管dll ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黎杉娜Torrent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值