功能特性:
句劫持:从 csrss 复制现有句柄,而非直接调用 OpenProcess
线程劫持:劫持等待中的线程,避免使用 CreateRemoteThread
进程枚举:通过 NtQuerySystemInformation 实现
完整的 PE 加载器 Shellcode(支持重定位、导入表、TLS、入口点)
映射后修复区段保护属性
注入完成后清除 PE 头及 Shellcode
主要用途:
将用户态 Payload(如 DLL)注入到目标进程(如 notepad.exe 或 obs64.exe)中。
