免杀 挖掘白加黑

免责声明

  文章所涉及内容，仅供安全研究教学使用，由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任

挖掘白加黑一般通过Process Monitor这个工具来进行的查找，这里我们就先文字描述过程然后再上图片解释过程：

1.我们打开Process Monitor以后先设置过滤器，将进程名称设置为***.exe然后启动某软件，让他加载起来

2.接下来我们就要去寻找我们需要的dll，通常我们需要锁定该软件所在的路径下的dll文件，然后我们需要打开文件去选择指定的的几个函数（LoadLibraryA，LoadLibrary,LoadLibraryEx，LoadLibraryExA,LoadLibraryExW），找到函数以后我们需要去再一次确定这个dll是否加载成功。

3.找到以后我们需要去原始dll所在地，将他复制一份放到我们工具所在的文件夹，然后我们使用工具生成代码，其中的cpp就是代码，我们将他打开复制出来然后进行修改。

注：在使用AheadLib这个工具生成的代码会有一些问题他将很多函数宏定义为裸函数。

“裸”函数：是指在函数执行过程中不进行标准的函数入口和函数出口处理的函数。这意味着函数自己负责保存和恢复寄存器，并且没有标准的函数前导和后继代码。通常，"裸"函数是用汇编语言编写的，用于特定的低级编程需求。这在我们使用其他windows提供的文件操作函数或者API函数的时候，会出现问题，所以需要修改代码，以达到我们执行shellcode的目的。

4，在这里我们需要新建一个dll项目，项目名字为我们找到的dll的名字，然后将AheadLib生成的代码粘贴上去进行修改，修改完代码以后我们不急着加载shellcode上线，我们先看能不能成功弹出计算器或者有没有其他问题，在次进行调试修改。

这里我们可以看到他弹出了计算器，但是也报错了，这是非常忌讳的事情，但是这里我们只是讲解如何挖掘利用，解决此类报错问题的话，还请各位读者大大自行解决。

弹出了计算器也同时告诉我们是可以正常执行我们写的黑dll的，那么接下来我们就进行上线测试。

原文始发于微信公众号（泾弦安全）：免杀 挖掘白加黑