0x01 工具介绍
ZeroEye 是一款自动化白加黑文件筛查工具,可快速扫描系统中 EXE 文件的导入表,筛选出非系统 DLL,并自动生成劫持模板。支持 x64 和 x86 文件检测,具备快速扫盘、DLL 递归查询、签名校验和模板生成功能。结合灰梭子工具,可进一步解析 DLL 函数名并生成劫持代码,大幅提升免杀开发和安全研究效率。
下载地址在末尾
0x02 功能简介
什么是白加黑?
- “白加黑”是一种利用合法程序(白文件)加载恶意代码(黑代码)的技术,主要利用系统中信任的合法程序导入恶意 DLL 或执行特定操作,绕过安全检测,达到隐藏或执行恶意行为的目的。
ZeroEye 工具的核心是自动化筛查和利用“白加黑”技术,通过对系统文件(尤其是 .exe 和 .dll 文件)进行分析,快速定位可被劫持的合法文件(白文件)。它可以帮助:
- 快速识别导入非系统 DLL 的白文件。
- 提供模板化支持,便于后续开发劫持代码。
功能亮点
ZeroEye 提供了一些独特功能,使其在免杀辅助工具中具有较高实用价值:
导入表与导出表查看
- 可查看 EXE 或 DLL 的导入表和导出表,帮助快速分析文件所依赖的外部 DLL 或暴露的函数。
递归筛查 DLL
- 支持对文件中引用的 DLL 进行递归扫描,深度挖掘文件依赖关系。
快速扫描和白名单检测
- 自动扫描目录:对指定目录下的文件进行批量分析,定位可利用的白名单文件。
- 签名校验:筛选有数字签名的合法程序,进一步缩小可利用范围。
模板生成
- 支持生成 DLL 劫持模板,便于后续开发劫持代码,节省时间。
0x04 使用介绍
使用说明
Usage: ZeroEye [options]options:-h 帮助-i <PE 路径> #列出Exe的导入表-IM <PE 路径> #查看导入表-EX <PE 路径> #查看导出表-p <文件目录> #自动搜索文件路径下可劫持利用的白名单-s <签名校验> #仅对数字签名exe进行探测-d <生成模板> #生成dll模板example:ZeroEye.exe -i a.exe #显示exe导入表ZeroEye.exe -p c: #扫描c盘下所有exeZeroEye.exe -p c: -s #扫描c盘下所有exe,并且仅扫描有数字签名的ZeroEye.exe -d a.dll #对指定dll生成模板,存放与当前路径ZeroEye.exe -IM/-EX a.exe/a.dll #查看导入表/导出表
在物理机和虚拟机测试中,工具表现如下:
- 速度: 高效扫描 200G 文件仅需约 2 分钟;虚拟机 20G 数据扫描用时约 12 秒
- 效果: 快速检测到大量可利用的白名单程序(240+ 或 50+)
0x05 下载
https://github.com/ImCoriander/ZeroEye
原文始发于微信公众号(渗透安全HackTwo):ZeroEye一款自动化找白文件 提升免杀效率实现降本增效|免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论