声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

MavInject32.exe是微软应用程序虚拟化的一部分，可以直接完成向某一进程注入代码的功能。

64位系统下的文件位置：C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe

有些系统下可能找不到MavInject32.exe，有可能时没有安装offiec365的原因。

由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理，查杀白名单文件都没有任何意义，payload文件的查杀率依赖于对payload的免杀处理，所以这里对白名单程序的免杀效果不做评判。

我们先编写一个检测使用的dll,此dll的功能为一加载即弹出提示框提示“警告：您已被注入”。

随便挑选一个运行中的程序，找到其PID记录下来，例如下面的18320。

使用下面的命令进行注入进程。

C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" <PID> /INJECTRUNNING <PATH DLL>

可看出dll已被注入到指定进程并运行。

看雪：https://bbs.pediy.com/thread-223429.htm