白加黑保姆教程通杀主流杀软

文章预览

原文链接：先知社区 https://xz.aliyun.com/t/14558 简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的，那么就需要对exe加载的dll进行了解。 0x01 DLL前置知识 DLL路径搜索目录顺序 • 1. 程序所在目录 • 2. 程序加载目录（SetCurrentDirectory） • 3. 系统目录即 SYSTEM32 目录 • 4.16 位系统目录即 SYSTEM 目录 • 5.Windows 目录 • 6.PATH 环境变量中列出的目录 Know DLLs 注册表项 Know DLLs 注册表项里的 DLL 列表在应用程序运行后就已经加入到了内核空间中，多个进程公用这些模块，必须具有非常高的权限才能修改。 Know DLLs 注册表项的路径为  HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs 劫持应用中存在的 dll 直接转发 Direcrt Forwarding 直接转发对主程序来说，其实就是调用了原来 dll 的某个函数。 1.修改导出表 在导出表中，将要转发的函 ………………………………