本篇文章为本人的教程笔记,现在主攻C/C++和python
步入正题
攻防无绝对,本期带领大家如何使用白文件玩转360
“为存在应而顽强抵抗 这本不相矛盾的双方”
——《黑与白》
提取并检测白文件
随机选择一位幸运儿,并且提取他的EXE文件,如果该文件依赖的其他DLL文件较少,那么该文件就可以作为白文件,这里就是用了这样一个白文件
缺少socks.dll,查看导入表后如下图所示。
引入这些函数,并且函数个数较少,经过脱机测试,这个白文件并没有对Scoks.dll进行二次校验,所以该文件可以用于本篇的实验测试。
文件签名证书受信程度极高,所以根本不需要在写提权(目前该DLL签名已经降级)
如何进行DLL处理
整理好导入表好后,利用一个工具直接转换为易语言格式;
接下来复制粘贴到易语言,新建DLL文件。
由于我们这里没有保存源码无法修改资源, 利用一个简单的方法,来寻找白文件利用的是哪个函数 ,方便利用。
将DLL文件复制进来,并且和白文件放到同一个目录。
注意这里必须是同一个目录,否则他会在windows系统目录下寻找需要的DLL文件!
对DLL的简单解析
DLL劫持相当于就成功了,会弹出刚才我们编写的一个信息框,显示3 函数
之后程序就会出错退出 (这里呢可以直接ExitProcess即可)
易语言 建议用黑月编译器 毒比较少(自带的特征确实太多了)
那么接下来处理 DLL文件
DLL如何加壳并且进行自签名
PS:建议签名是为了让DLL文件更加的逼真,不过这个办法似乎已经对现在版本的360没有用了,有兴趣的可以自己在断 的情况下去试试
签名工具可以自己去找,生成一个自签名就够了,然后将签名后的DLL文件也是放到同意目录下
(该白文件为GameBOX.exe,将可利用的消息反馈给厂家后,后续的签名dll都不能在随意调用,增加了自校验)
由于这个白文件更新一次后,不会像以前一样立即调用了
尝试在内存中运行exe文件,不过这种办法已经失效了,该函数已经被多家杀毒软件定为特征码,在反馈给火绒-肉丸后,火绒也能查杀此类文件
文件说明
这个子程序 ,如果是在一般的程序中运行的话是会被360安全中心拦截(如果你有正规签名文件,那么就不存在这一点)
那么我们利用白文件的性质,让受信任的白文件来调用这个函数(注意,这里的文件必须是没有自校验的那种,例如360自带的文件都是带有自校验功能)
签名打上后 ,拖入虚拟机进行测试 (PS:国际版的360确实比国内的UI好看)
不过在去年360就已经实现了全面的本地化,并且完全弃用小红伞引擎和BD引擎,有兴趣的小伙伴可以关注我,下期我会发布有关鲲鹏(KP)引擎的相关见解与思路
系统注入成功
由于我这里禁用了 启动项 所以那里是没有勾选的
调用1 函数和2 函数随后与结束进程留下log文件这个文件后面是可以去掉的
如果产生文件,可以调用删除文件函数达到此效果
其他的子程序建议填写返回( )保证程序的完整性
程序实践
添加加一个汇编类 汇编 Retn
注意编译的时候 要显示这种 提示 没有提示就重新生成
win10/8系统需要提权,如果你的DLL文件有完整有效的签名,那么该DLL可以直接执行;反之则行不通,需要手动进行提权
如下图所示,已经成功注入系统,并且利用外壳CMD.EXE 程序运行一个exe文件
由于最初开始就是被360针对的,再加上当时将许多样本提交至360的分析中心,本篇所描述的办法在去年已经失效。针对火绒的话,还是挺有用的,不过火绒已经将内存释放运行的函数列入特征码区域,可能需要加壳,或者隐藏IAT表
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!