原文链接:https://bbs.pediy.com/thread-178628.htm
一、什么是白加黑
白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。二、白加黑木马的结构
1.Exe(白) ---load---> dll(黑)
2.Exe(白) ---load---> dll(黑)---load---> 恶意代码
为了方面免杀,我的建议是选择第二种,即被控端真正由三部分组成,第二部分中的代码要少,把核心都组织到第三部分,最好做成shellcode,在第二部分中call一下即可,这样做有个好处就是:第一部分不可能被杀,第三部分经过多态变形处理后,每次不一样,通常也不杀,然后免杀的主要任务将集中到第二部分那很少的代码上,而且是dll,很容易免杀。
三、寻找白exe
这样的exe很多,但是他必须满足一下一些条件才行:
1.带有正规厂商的签名
2.依赖最小,不同的windows版本下都可以运行
3.Exe调用了自己的dll
4.尽可能的小点
四、编写黑dll
按照他原来dll的输出表构造编写一个伪造的dll, 在dll中的合适位置编写加载shellcode的代码,于是exe+dll共同组成了一个shellcode加载器。
五、编写shellcode
这里我的经验是不要手工用汇编写,这样的话一个完整的被控端太费时间,也太难维护,我的办法是把一个完整的dll转化成shellcode,所以被控端写成一个dll,然后三下五除二转成shellcode,很快很利索,然后多态引擎变形即可。
六、如何将三部分合成一个exe
仁者见仁,智者见智,关键是合成后,这个安装器别被杀,呵呵
反反复复,折折腾腾,成品如下,望爱好者共同研究: