零基础入门学免杀（二）

免杀爱好者

零基础入门学免杀（二）

#0x00 简介

上次分享的方法可以过大多数杀毒，但是依旧不能过部分杀毒，比如上次的火绒，其实最大的缺点就是自启，其实自启动的方式有很多，这次我拿最简单的注册表启动项演示。一般的可执行文件修改关键的系统注册表是肯定会被杀毒软件拦截的，但是你的软件如果添加的有数字签名，并且已经列入白名单，杀毒软件是不会拦截。买数字签名太贵，但是如果我们利用dll劫持，白加黑文件就可以轻松的利用别人的数字签名软件运行我们的木马。


#0x01 寻找白文件

白文件很多，但是有几个条件，首先文件体积不能太大，dll依赖少，不同windows版本都可以运行，最最最重要的就是有数字签名



#0x02 寻找dll

使用ProcessMonitor查看程序所加载的DLL，可以看到第一个调用的就是edudll.dll

我就拿这个dll开始搞事情吧



用ida查看dll的函数，根据名称基本可以确定入口函数是AppMainEntry

如果不能确定就挨着试吧，要是大牛有更好的方法推荐一下





接下来查看函数的伪代码确定函数类型


#0x03编写测试dll

新建一个testdll.h



新建一个testdll.cpp



编译之后把dll名字改为edudll.dll 然后和edudll.exe放在同一个目录运行


运行成功，说明可以劫持

#0x04 编写白加黑文件

木马部分把之前的shellcode加密解密直接复制过来就行

在前面加上写启动项




编译之后改为edudll.dll 运行   注册表无拦截

山里人进城

合成单exe 有提示修改注册表