标签:文件 劫持 免杀 Windows DLL 白加 目录 加载
一、白加黑
1)白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白加黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下,白为.exe可执行程序(带有数字签名),黑为.dll文件或者其他,黑文件里面加入了我们自己编写的恶意代码,恶意代码有很多种,比较常见的就是shellcode和其它的反弹shell,当然,黑可以分成很多部分⛱
2)“白加黑”是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段⛅
二、DLL劫持
1、DLL
1)DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。DLL 是一个包含可由多个程序同时使用的代码和数据的库。例如,在 Windows 操作系统中,Comdlg32.DLL
用于执行与对话框有关的常见函数。因此,每个程序都可以使用该 DLL 中包含的功能来实现“打开”对话框。这有助于促进代码重用和内存的有效使用。.dll文件和.exe文件一样都是PE文件。
2)我们可以用进程管理器Process Explorer
来查看下一个已经运行的程序所调用的DLL文件:
这里以Edge浏览器为例子,根据参考资料的操作来查看其对应调用的DLL,如下所示:
标签:文件,劫持,免杀,Windows,DLL,白加,目录,加载 来源: https://www.cnblogs.com/Jingyu723/p/16247830.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。