『免杀』白加黑
作者:互联网
一、白加黑
1)白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白加黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下,白为.exe可执行程序(带有数字签名),黑为.dll文件或者其他,黑文件里面加入了我们自己编写的恶意代码,恶意代码有很多种,比较常见的就是shellcode和其它的反弹shell,当然,黑可以分成很多部分⛱
2)“白加黑”是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段⛅
二、DLL劫持
1、DLL
1)DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。DLL 是一个包含可由多个程序同时使用的代码和数据的库。例如,在 Windows 操作系统中,Comdlg32.DLL 用于执行与对话框有关的常见函数。因此,每个程序都可以使用该 DLL 中包含的功能来实现“打开”对话框。这有助于促进代码重用和内存的有效使用。.dll文件和.exe文件一样都是PE文件。
2)我们可以用进程管理器Process Explorer来查看下一个已经运行的程序所调用的DLL文件:
这里以Edge浏览器为例子,根据参考资料的操作来查看其对应调用的DLL,如下所示:
标签:文件,劫持,免杀,Windows,DLL,白加,目录,加载 来源: https://www.cnblogs.com/Jingyu723/p/16247830.html