本文用到的白程序回复公众号20231211进行获取。

嗯… 记得去年HW的时候某信服给我装的EDR一直没卸载，不是不想卸载，是因为卸载要密码，所以就摆烂了。。。。

找到EDR这个目录，然后把目录复制到虚拟机中，然后一个一个exe查看的时候发现将updater.exe复制到桌面打开的时候缺少libepsbase.dll这个文件文件。

我们创建一个动态链接库将导出函数写进去

extern "C" __declspec(dllexport) int error_output() {
}
extern "C" __declspec(dllexport) int dirutils_path_transform() {
}
extern "C" __declspec(dllexport) int autolog_init() {


}
extern "C" __declspec(dllexport) int error_output_check() {


}

然后在dllMain方法中输出一个MessageBoxA

编译x64位的dll然后，然后将这个文件和updater.exe放在同一目录，将dll名字改为libepsbase.dll

双击udater.exe执行。

如下图updater.exe这个程序，可以看到这个程序的签名是某信服的，而且是正常的签名。

这样的话我们是不是可以通过白程序->dll->dllMain->shellcode

剩下的各位自己发挥吧

下面贴一张图过360的。



到这里就结束了，动动你的小手点个关注呗，你的关注就是我写文章的动力。