白加黑免杀-利用微信&QQ上线CS,轻松过某绒、某卫士、Defender

最新推荐文章于 2024-06-17 17:04:54 发布
最新推荐文章于 2024-06-17 17:04:54 发布
阅读量2.1k 收藏 41
点赞数 27
分类专栏: #学习笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62169455/article/details/136006215
版权

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!

前言

       通常在运行一个EXE文件的时候,会先加载支持该EXE文件运行的DLL(动态链接库)文件,那如果把其中一个DLL文件替换成恶意DLL,DLL里面注入一个后门文件, 当被攻击者双击执行程序时,就会加载恶意DLL,进而触发后门文件,最终达到控制对方主机的目的。

       替换DLL操作,也就是我们所说的“DLL劫持”,而“白+黑”里面的“白”则指的是EXE文件(带有数字签名),“黑”则指替换的恶意DLL。

0x01 DLL 劫持原理

当一个可执行文件在Windows上运行时,系统的加载器会将该可执行模块映射到进程的地址空间中。加载器会分析可执行模块的导入表,并寻找所需的DLL文件,并将它们映射到进程的地址空间中。导入表中只包含DLL的名称而没有路径信息,因此加载器必须在磁盘上搜索DLL文件。搜索路径按照特定规则顺序进行,恶意程序就是利用了这个特点,伪造了一个与系统DLL同名的DLL文件,该文件具有相同的导出表,并将每个导出函数重定向到真正的系统DLL函数。这样,当程序调用系统DLL时,它首先调用了在当前目录下伪造的DLL文件,完成相关功能后,再跳转到真正的系统DLL同名函数进行执行。

Windows XP SP2的系统以上DLL文件加载的搜索顺序如下:

(1)可执行程序加载的目录

(2)系统目录

(3)16位系统目录

(4)Windows目录

(5)运行某文件的所在目录

(6)路径环境变量中列出的目录

0x02 微信测试-弹"计算器弹窗"

首先寻找带有数字签名的可执行文件(这里我是利用微信),且必须是正常的签名才可以,直接右键->属性查看,因为带有数字签名的,通常都是被杀软标记为白名单的。

图片

现在需要寻找一个被劫持的DLL文件,但是目前并不清楚,运行微信,会加载哪些DLL文件,这里有两种方式可以查找:

  • 静态查找

把EXE文件单独放到一个文件夹中,执行,会报错缺少xxx.dll文件,如下图:

图片

这种方式虽然可以找到加载的dll文件,但是并不完整

  • 动态查找

使用Process Monitor工具或者其他进程查看工具也可以,查找加载的DLL文件,根据自己的需求先过滤出需要的进程,方便查找

接下来,选择一个dll(这里我选择的是dwmapi.dll),利用Visual Studio来伪造dwmapi.dll

挖掘白文件dll小技巧:

1) 最好选择系统搜索路径较靠前的DLL文件进行劫持,以确保被劫持的DLL文件被优先加载

2) 劫持应用中不存在的dll时(Result值为NAME NOT FOUND),最好选择loadlibrary这个api的dll(因为这个dll的调用栈中存在LoadLibrary(EX),也就表明这个dll是动态加载的),这时不需要再伪造dll所调用的导出函数

3) 劫持应用中存在的dll时(Result值为SUCCESS),这时需要伪造dll所调用的函数(可以使用VS自带的工具dumpbin查找),因此最好选择调用函数较少的DLL文件

首先创建项目->动态链接库

图片

伪造dll代码,这里测试调用计算器:

图片

将伪造好的dll,重命名dwmapi.dll,放到微信的当前路径下:

图片

这时执行WeChat.exe,会发现弹出了计算器窗口,说明上面的操作过程均是正确的

图片

0x03 QQ测试-上线Cobalt Strike

这里我们利用QQ来演示,但是这里我们选择去劫持应用中存在的dll文件,使用图片分离的方式来上线CS。

同样的,使用Process Monitor过滤出dll文件,过滤操作如下图:

图片

这里,按照按照前面所讲到的dll文件搜索顺序,所以先找当前路径下的dll文件,我这里选择伪造的是TaskTray.dll(选择dll依然按照我们前面所讲到的技巧去选择,该dll是已经测试过的)。

图片

这时伪造dll文件,我们有两个点特别需要注意,否则上不了线。

第一点是我们需要知道我们伪造的dll被调用时会用到哪些函数,这里使用VS自带的工具dumpbin来查看,具体用法如下图:

第二点就是我们需要确定伪造的dll是多少位的,这涉及到后面我们去生成shellcode的位数要对应,同样使用VS自带的dumpbin工具可以查看,使用方式如下图:

图片

经过查看,发现该dll是32位的,接下来,去生成32位的shellcode,打开CS->有效载荷->Payload生成器,32位的shellcode一定不能勾选使用x64 payload

图片

然后使用工具DKMC把shellcode写进图片里面,这里需要python2环境,具体用法如下:

图片

进入DKMC后,选择gen,将刚才生成的shellcode写入

图片

最后run执行,可以看到在DKMC的路径下生成了一个bmp后缀的图片

所有需要准备的内容已经准备完成,现在使用VS来生成伪造的dll文件,在编写伪造dll代码时,需要在dll调用的函数前面加上extern “C”,因为在构建dll的时候,编译器会为函数名进行改编,但是在构建可执行文件的时候,编译器不会对函数名进行更改,这时候当链接器试图链接可执行文件的时候,会发现可执行文件引用了一个不存在的符号并报错,因此这里在函数前面加上extern “C”就是来告诉我们的编译器不对变量名和函数名进行改编。

图片

加载器部分代码:

图片

然后将生成的dll文件,同图片一起放到QQ.exe路径下面,运行QQ,CS上线

图片

0x04 杀软效果检测

火绒:

图片

360:

图片

win Defender:

图片

尾声 

        通过前面讲到的方式,火绒、360以及Defender都能搞定,那么,除了上线以外,我们还可以运用到权限维持里面,比如说我们添加注册表,实现开机自启动的功能,那不就可以每次重启,都能拿到对方权限。

本文所涉及工具、源码,关注公众号【404攻防实验室】,回复【240202】,即可获得!!!

香芋味儿的霜
关注
  • 27
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
CS免杀之信手拈来
Gamma_lab的博客
08-06 1595
前言 最近搞了一个cs免杀的东西出来,主流的杀毒软件,某绒,某0,windows defender轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查杀,如果是内存查杀,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的杀毒机制,就哦豁了。 然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。 免杀实践 项目地址: https://github.com/ORCA666/EVA2 根据作者描述,这个项目
白加加载方式_利用白加原理 绕过杀软主动防御
weixin_29616999的博客
01-13 1821
如何绕过杀软主动防御?且看这篇文章渡尽劫波兄弟在,相逢一笑泯恩仇。——鲁迅利用白文件绕过杀软的主动,可以追溯到很久之前。我在看雪看到一篇关于白加的文章时候还是在13年,当时也有人在研究白加。所谓白加,原理大概可以概括为:恶意程序的调用藏匿于白程序代码中,表面无壳,有一定欺骗性。一般的话,利用带有数字签名(白名单)的白文件调用DLL时的漏洞达到调用DLL执行恶意代码。但是现在许多的DLL和E...
利用白加配合Veil过杀软
蚁景网安学院
09-06 429
0x00简介所谓的“白”就是利用正常应用程序的一些特征,比如,签名。所谓的“”就是用msf或者其他程序生成的“恶意程序”。以下的例子的思路是:利用TX的数字签名配合Veil生成的木...
渗透技巧 | 有手就行的白加实战免杀
2201_75362610的博客
06-27 1909
最近一直在打攻防,很多时候都需要用到免杀,那么怎么能快速做免杀和权限维持就是一个问题,于是就想起来利用白加快速做免杀或权限维持,俗称有手就行,废话不多说直接开干!
浅谈dll劫持-白加免杀指南
最新发布
2401_84466325的博客
06-17 1080
这就会产生事件无法得到处理,程序卡死的现象。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
白加免杀教程,很优秀的教程
03-06
白加免杀教程,很优秀的教程
免杀技术之白加的攻击防御
蛇矛实验室
04-24 1219
就是指我们自己的文件,没有有效证书签名,也不是微软文件。手动检测的方式也很简单,我们只需要多注意这种exe只带有一个dll的文件,因为如果是木马的话他一般不会有很多文件,我们可以dll右键属性看看是否有签名,如果没有就很可疑,如果有的话看看签名是否有效,这里也可以用代码去代替这个过程。此时看到这个图,不要认为我们又要换白程序了,报错是成功的一大步,到这里就说明我们已经成功百分之90了,这里的问题是我们dll虽然有了但是程序加载我们的dll后调用的函数我们并没有提供,好的我们用dumpbin来看下。
从零开始的白加免杀的查杀情况
qq_49849300的博客
06-04 198
1.只对shellcode做加密混淆:defender静态能过 动态被查杀;火绒静态被查杀,vt 15/74。4.尝试defender\360\火绒 ,火绒静态报毒,defender\360可免杀。目前来看火绒的静态扫描比较强,猜测报毒的原因可能是复用了网上的一些代码。2.添加ico资源,然后去掉调试信息,更改文件时间。3.添加反沙箱,unhook机制 vt 5/74 微步 1/23。
VIP免杀教程完美过360提示
12-23
这个VIP免杀教程特别强调了“完美过360提示”,这意味着它专注于教用户如何绕过360安全卫士的检测机制。 360安全卫士是一款广受欢迎的免费安全软件,集成了多种防护功能,包括云查杀引擎,能够实时检测并阻止各种...
深入探究Windows平台客户端安全问题-进程地址空间入侵和白加高阶利用1
08-08
深入探究 Windows 平台客户端安全问题 - 进程地址空间入侵和白加高阶利用 一、进程地址空间入侵概述 在 Windows 平台下,进程地址空间入侵是一种常见的安全问题。所谓进程地址空间入侵,就是使一个非目标进程所...
白加Flash
05-30
白加Flash
最新过360免杀教程
11-08
最新过免杀教程带工具 希望能帮助你们
参考资料-白加道路施工组织设计方案.zip
02-06
白加道路施工组织设计方案》是一份详细阐述道路建设施工流程和技术规范的重要参考资料,它主要针对的是在交通工程中常见的“白加”路面改造项目。这种改造通常指的是将原有的水泥混凝土路面(白色)改造成沥青...
精品资料(2021-2022年收藏的)白加施工方案剖析.doc
11-10
"精品资料(2021-2022年收藏的)白加施工方案剖析.doc" 这个标题表明这是一个关于道路施工的精品文档,聚焦于“白加”施工方案,即在原有的白色水泥混凝土路面上加铺色的沥青混凝土面层。这个施工方案可能包含...
第116天:免杀对抗-EDR&Syscall-hook&DLL反射注入&白加&隐写分离&加载器
qq_46081990的博客
07-23 935
之前介绍的是exe,现在讲的是"dll加载",当然exe的免杀技巧也可以用到dll加载上,比如加密混淆、分离等 dll加载主要涉及以下几种方式: 1、自写DLL调用加载: 由于dll无法直接执行,所以可以写一个py文件打包成exe,其只是用来调用dll,而dll中写有shellcode 2、DLL劫持-白加-导入加载: 利用进程工具获取白应用执行要加载哪些dll,将其中某个dll导入pe工具添加恶意dll函数,然后替换原来的dll,最后运行白应用 3、DLL劫持-白加-导出编译:(适用某些会检测dll
shellcode免杀
weixin_43526443的博客
07-14 1873
0x06利用wmic远程文件不落地执行shellcode 1、msf生成的hta链接放入hta.xsl文件中,(其中JScript调用mshta运行恶意hta),并将文件放置攻击方服务器 <?xml version='1.0'?> <stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" ..
白加”远控木马技术分析及手杀方案
liujiayu2的专栏
12-13 9466
白加”是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段。本文将针对此类病毒做了一个简单技术介绍和案例演示。 所谓的“白加”,笼统来说是“白exe”加“dll”,“白exe”是指带有数字签名的正常exe文件,那么“dll”当然是指包含恶意代码的dll文件。病毒借助那些带数字签名且在杀毒软件白名
红蓝对抗经验分享:CS免杀姿势
蚁景网安学院
08-02 413
红队在HVV中一般使用钓鱼实现突破边界,蓝队通过钓鱼实现溯源反制,但是都离不开一个好的免杀马,这里分享一下自己的免杀过程,过火绒、360杀毒、windows defender以及赛门铁克等主流杀软都没问题。.........
1、某药店一张清单记录了7天(周一至周日)销售的泰诺、感康、白加和百服宁的数量,范围为0-20盒(闭区间,盒数为整数)。请使用随机数模拟销售盒数(种子数为1,代码为np.random.seed(1)),存储在名为record的数组中。 2、输出周二和周六,感康的销量。 3、输出周二到周六的药品销售情况。 4、输出药品销量为0的记录。 5、输出四种药品的销量平均值。 6、输出按每种药品的销量排序的结果。
05-26
这里提供一个Python的实现,使用numpy库来生成随机数: ```python import numpy as np # 生成随机数 np.random.seed(1) record = np.random.randint(0, 21, size=(7, 4)) # 输出周二和周六,感康的销量 print("周二,感康的销量:", record[1, 1]) print("周六,感康的销量:", record[5, 1]) # 输出周二到周六的药品销售情况 print("周二到周六的药品销售情况:") print(" 泰诺 感康 白加 百服宁") print(record[1:6, :]) # 输出药品销量为0的记录 print("药品销量为0的记录:") for i in range(7): for j in range(4): if record[i, j] == 0: print("周{},{}销量为0".format(i+1, ["泰诺", "感康", "白加", "百服宁"][j])) # 输出四种药品的销量平均值 print("四种药品的销量平均值:", np.mean(record, axis=0)) # 输出按每种药品的销量排序的结果 print("按每种药品的销量排序的结果:") print(["泰诺", "感康", "白加", "百服宁"]) print(np.sort(record, axis=0)) ``` 输出结果如下: ``` 周二,感康的销量: 0 周六,感康的销量: 14 周二到周六的药品销售情况: 泰诺 感康 白加 百服宁 [[11 0 8 9] [12 0 3 5] [ 6 2 2 18] [ 4 7 9 1] [ 0 14 0 2]] 药品销量为0的记录: 周1,感康销量为0 周2,感康销量为0 周3,泰诺销量为0 周3,感康销量为0 周4,泰诺销量为0 周4,百服宁销量为0 周5,泰诺销量为0 周5,感康销量为0 周5,白加销量为0 周6,泰诺销量为0 周6,白加销量为0 四种药品的销量平均值: [ 5.57142857 3.71428571 5.28571429 10.71428571] 按每种药品的销量排序的结果: ['泰诺', '感康', '白加', '百服宁'] [[ 0 0 0 1] [ 4 0 2 2] [ 6 2 3 5] [11 7 8 9] [12 14 9 18]] ```
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值