零基礎(chǔ)入門學(xué)免殺（二）

免殺愛好者

零基礎(chǔ)入門學(xué)免殺（二）

#0x00 簡(jiǎn)介

上次分享的方法可以過大多數(shù)殺毒，但是依舊不能過部分殺毒，比如上次的火絨，其實(shí)最大的缺點(diǎn)就是自啟，其實(shí)自啟動(dòng)的方式有很多，這次我拿最簡(jiǎn)單的注冊(cè)表啟動(dòng)項(xiàng)演示。一般的可執(zhí)行文件修改關(guān)鍵的系統(tǒng)注冊(cè)表是肯定會(huì)被殺毒軟件攔截的，但是你的軟件如果添加的有數(shù)字簽名，并且已經(jīng)列入白名單，殺毒軟件是不會(huì)攔截。買數(shù)字簽名太貴，但是如果我們利用dll劫持，白加黑文件就可以輕松的利用別人的數(shù)字簽名軟件運(yùn)行我們的木馬。


#0x01 尋找白文件

白文件很多，但是有幾個(gè)條件，首先文件體積不能太大，dll依賴少，不同windows版本都可以運(yùn)行，最最最重要的就是有數(shù)字簽名



#0x02 尋找dll

使用ProcessMonitor查看程序所加載的DLL，可以看到第一個(gè)調(diào)用的就是edudll.dll

我就拿這個(gè)dll開始搞事情吧



用ida查看dll的函數(shù)，根據(jù)名稱基本可以確定入口函數(shù)是AppMainEntry

如果不能確定就挨著試吧，要是大牛有更好的方法推薦一下





接下來查看函數(shù)的偽代碼確定函數(shù)類型


#0x03編寫測(cè)試dll

新建一個(gè)testdll.h



新建一個(gè)testdll.cpp



編譯之后把dll名字改為edudll.dll 然后和edudll.exe放在同一個(gè)目錄運(yùn)行


運(yùn)行成功，說明可以劫持

#0x04 編寫白加黑文件

木馬部分把之前的shellcode加密解密直接復(fù)制過來就行

在前面加上寫啟動(dòng)項(xiàng)




編譯之后改為edudll.dll 運(yùn)行   注冊(cè)表無攔截

山里人進(jìn)城

合成單exe 有提示修改注冊(cè)表