先锋马上线后渗透-dll注入上线

文章预览

前言：前面跟各位师傅提到过先锋马制作上线思路，那么我们在先锋马上线后如何进一步去做呢？本文会逐一为各位师傅讲述。 Q 为什么我们需要白加黑这种攻击方法呢？ 答：无论是分离免杀还是捆绑上线的免杀方式早已被研究员们每天推演成千上万遍了，像CS这类主流的C2工具的yara规则早就被各大安全厂商研究透了，去年9月份XOR加密尚且还能躲过微步的排查，今年XOR密钥一被撞出，那么yara规则已经被匹配的无处可逃了，如下图。白加黑成本最低，最有效率(除了某数字杀软对此类方式较敏感，针对其他杀软都有机可趁)。 那什么是白加黑呢？ 答：DLL注入，一般可以通过dll劫持来实现，就是通过创建一个缺省的DLL，自己制作一个恶意的DLL去充当缺省的DLL，在程序运行时创建线程/进程会调用该DLL，程序 加载包含恶意代码的DLL文件后，即运行我们恶 ………………………………