白加黑
“白加黑”,顾名思义,就是指攻击者通过使用白程序,如厂商数字签名的合法程序、系统内置组件程序、安全厂商高权限程序等类似软件,加载黑样本(攻击者的恶意样本,常见DLL文件,图片文件,数据bin文件等)。由于白程序一般为高可信程序,会被杀毒软件标记为白名单,所执行行为不会被检测,攻击者可利用此种方式,绕过杀软对恶意行为的拦截。
白影 v2.2
白影从1.0迭代到今天v2.2版本,如果让我用一个词概括它的演进方向,那就是“克制”。在功能上做加法很容易,堆更多的Loader执行方式、支持更多的加密算法、但这些功能如果缺乏场景验证,最终只会让界面越来越复杂、让用户越来越困惑。v2.2在做的其实是减法:移除冗余的外部依赖、合并重复的操作流程、用两套EAT模式覆盖绝大多数实战场景而不是追求“十八种加载方式”。一个好的安全工具,不是功能最多的那个,而是让使用者用最少的操作、最稳的方式达成目标。零编译环境依赖
传统白加黑免杀方案往往要求使用者在本地搭建完整的开发环境:安装Visual Studio、配置Windows SDK、设置C++编译链、解决各种运行时库依赖……光是让一个DLL工程成功编过,就能劝退一半的新手。更麻烦的是,不同版本的VS编译出来的DLL在兼容性和特征上都有差异,到了目标机器上还可能因为缺少VC运行时而直接加载失败。
编译”这个环节。它的核心能力是EAT Patch(导出表劫持),直接在原始DLL的二进制文件上做定点修改——不需要源代码、不需要重新编译、不需要任何开发环境。你拿到的是一个开箱即用的exe,双击打开,选目标、传Shellcode、点生成,三步收工。真正做到了“零环境依赖”。| 受限于宿主函数间隙 | 无限制 | |
使用教程
扫描白程序目标
选择待扫描目录,通常为电脑软件安装目录,点击「开始扫描」,等待完成免杀生成
模板一般选择template_normal.bin,EAT 模式默认选择新增节• template_normal.bin:默认模板• template_sandbox.bin:反沙箱版本(可绕过virustotal、微步、天穹沙箱、奇安信情报沙箱。)
点击「开始生成」,自动生成免杀白加黑载荷,点击「批量运行」启动目标程序,在 C2 侧观察回连。
output 目录手动验证兼容性
Windows Server 2012正常上线,只要白程序支持都能正常运行。
技巧
准备一台虚拟机专门安装各类软件,高效挖掘多个实战可用白加黑,只需要点几下界面。规避效果
VirusTotal零检测,实测多个生成载荷基本低检测。360全家桶
纷传介绍
工具加入纷传获取圈子往期文件内容如下
•冲锋马一键生成工具(一键生成免杀loader) •lnk文件一键生成工具(一键生成免杀钓鱼lnk文件) •bypass内存扫描插件(可绕过火绒、卡巴斯基等杀软内存扫描cs插件) •暗涌在线免杀平台(白文件patch免杀loader(分离、单文件)一键生成平台、支持反沙箱) •bypass任务计划工具(普通权限可添加、钓鱼快速免杀维权) •后渗透工具免杀(petobin,分离加载避免静态落地被秒) •BYOVD攻击一键结束赛门铁克进程 •BinPatch免杀工具过国内主流杀软 •白影(whiteShadow)自动化白加黑免杀工具v1.0 •白影(whiteShadow)自动化白加黑免杀工具v2.1 •Windows恶意软件常见API一览(PDF) •Maldev Academy 恶意软件开发完整课程(源码+VM镜像) •SplitRun一款exe免杀工具v1.0 •cs4.5二开过火绒内存扫描 •binfileBinder文件捆绑工具 •RPC添加计划任务绕过360核晶 •DarkTide内部版单文件免杀 •VoidShell/VoidShell-fe内部版:x86-64 Linux ELF 加壳混淆工具 •白影(whiteShadow)自动化白加黑免杀工具v2.2
重要声明
本文所涉及的技术、思路和工具仅用于本地靶场安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担,禁止用于任何非法渗透测试,以及无授权违法测试,请遵守中华人民共和国网络安全法。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
发表评论