sRDI：一款通过Shellcode实现反射型DLL注入的强大工具

"今日给大伙儿详细介绍的是这款全名是sRDI的引入专用工具，它能够应用场景Shellcode建立反射面型DLL引入，并可以将DLL转化成单独的Shellcode。

专用工具详细介绍

sRDI的全部作用应用场景下列2个部件：

1.1个c语言新项目，可将pE Loader编译为Shellcode；

2.变换编码承担将DLL、RDI和客户统计数据开展关联。

该新项目由下列原素构成：

- ShellcodeRDI:编译Shellcode；

-NativeLoader:在必需状况下将DLL变换为Shellcode，并将其引入至运行内存；

-DotNetLoader:NativeLoader 的C#建立；

-Python\ConvertToShellcode.py:将DLL变换为Shellcode；

-Python\EncodeBlobs.py:对已编译的sRDI开展编号，并建立动态性置入；

-PowerShell\ConvertTo-Shellcode.ps1:将DLL变换为Shellcode；

-FunctionTest:导进sRDI的C涵数，用以调节检测；

-TestDLL:样版Dll，包括2个导出来涵数，可用以事件的载入和启用；

应用样例

在应用该专用工具以前，我提议大伙儿先向反射面型DLL引入有个基础知道，能够先阅读文章一下下【这篇】。

应用Python将DLL变换为Shellcode：

from ShellcodeRDI import *

dll =open(""TestDLL_x86.dll"", 'rb').read()

shellcode= ConvertToShellcode(dll)

应用C#载入器将DLL载入进运行内存：

DotNetLoader.exe TestDLL_x64.dll

应用Python脚本制作变换DLL，合用NativeLoader进行载入：

python ConvertToShellcode.py TestDLL_x64.dll

NativeLoader.exe TestDLL_x64.bin

应用PowerShell变换DLL，合用Invoke-Shellcode进行载入：

Import-Module.\Invoke-Shellcode.ps1

Import-Module.\ConvertTo-Shellcode.ps1

Invoke-Shellcode-Shellcode (ConvertTo-Shellcode -File TestDLL_x64.dll)

专用工具防御性

现阶段小区有多种多样方式可检验运行内存引入，载入作用建立了二种提高防御性的方式：

1.适度的管理权限：在对存储空间开展精准定位时，专用工具会依据运行内存地区的特点来设定运行内存管理权限；

2.PEHeader清除（能选）：总体目标DLL的DOS Header和DOS Stub会在载入进行以后被清除为NULL字节数，那步可根据C/C#编码，或命令行参数（Python或PowerShell）来建立。

专用工具搭建

本新项目选用Visual Studio 2014年（V140）和Windows SDK 8.1搭建，Python脚本制作应用场景Python 3开发设计，Python和Powershell脚本制作坐落于：

Python\ConvertToShellcode.py

PowerShell\ConvertTo-Shellcode.ps1

新项目搭建进行以后，可在下述部位寻找别的部件编码：

bin\NativeLoader.exe

bin\DotNetLoader.exe

bin\TestDLL_.dll

bin\ShellcodeRDI_.bin

应用到的别的新项目

本新项目用以将C编码编译为Shellcode时需选用的新项目架构为Mathew Graeber的PIC_BindShell：【传送门】

Python脚本制作中的编码分析控制模块选用的是PEFile新项目：【传送门】