免杀技术之白加黑的攻击防御

一、介绍

1. 什么是白加黑

通俗的讲白加黑中的白就是指被杀软列入到可信任列表中的文件。比如说微软自带的系统文件或者一些有有效证书签名的文件,什么是微软文件，或者什么是有效签名文件在后面我们会提到他的辨别方法。黑就是指我们自己的文件，没有有效证书签名，也不是微软文件。通常这种文件会被杀软加入到可疑名单中。

2. 白加黑的作用是什么

在很多的杀软中会对白文件的操作进行放行，如果我们将黑程序和白程序在一个进程中是否就可以绕过一些杀软的检测。

二、如何挖掘利用白文件

1. 思考->解决

问：如果我们想要将我们的黑程序载入到白文件中有什么办法？

答：通常情况下我们可以利用注入去将一个程序执行到另外的程序中。

问：在程序执行的开始，如何加载一个DLL。

答：程序加载的时候会优先加载当前文件夹下的文件下的DLL，当然这些DLL要存在于可执行程序的导入表中。

2. 挖掘白文件

首先我们先去找几个有签名的文件或者微软的可执行文件。

下图就是签名的鉴别方式。必须是正常数字签名才行。

这里有一些我们常用的软件也可以利用，我们尽量去看看目录里面体积小的文件，这样方便我们在攻击的时候投入。

这里我们在steam中找到一个uninstall.exe的exe，用ProcessMonitor可以监控到他执行的时候加载了一个“C:\Windows\System32\wow64log.dll” ,那么我们是否可以写一个这个dll放到和他在相同的目录下让他加载我们的wow64log.dll不去加载System32下的wow64log.dll呢？

那么我们去尝试下

3. 如何构造wow64log.dll

首先我们要知道一个exe加载这个dll后他调用了哪些函数，我们要去伪造这些函数，不然他肯定是加载不起来的。有很多方式可以查看比如说LordPe,或者说VS带有的dumpbin。这里我们用dumpbin来看下白程序的导入表，看看wow64log.dll用到了哪些函数。

C:\Users\Administrator\Desktop\1>dumpbin /imports uninstall.exe
Microsoft (R) COFF/PE Dumper Version 14.36.32535.0
Copyright (C) Microsoft Corporation. All rights reserved.


Dump of file uninstall.exe

File Type: EXECUTABLE IMAGE

  Section contains the following imports:

    KERNEL32.dll
                408070 Import Address Table
                408614 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                  30B SetCurrentDirectoryW
                  161 GetFileAttributesW
                  16A GetFullPathNameW
                  356 Sleep
                  1DF GetTickCount
                   56 CreateFileW
                  163 GetFileSize
                  271 MoveFileW
                  31A SetFileAttributesW
                  17E GetModuleFileNameW
                   46 CopyFileW
                   B9 ExitProcess
                  314 SetEnvironmentVariableW
                  1F4 GetWindowsDirectoryW
                  1D6 GetTempPathW
                  111 GetCommandLineW
                  1E8 GetVersion
                  315 SetErrorMode
                  390 WaitForSingleObject
                  142 GetCurrentProcess
                   39 CompareFileTime
                  20A GlobalUnlock
                  203 GlobalLock
                   6F CreateThread
                  171 GetLastError
                   4E CreateDirectoryW
                   69 CreateProcessW
                  2C5 RemoveDirectoryW
                  3C3 lstrcmpiA
                  1D4 GetTempFileNameW
                  3A4 WriteFile
                  3C6 lstrcpyA
                  3C7 lstrcpyW
                  270 MoveFileExW
                  3BE lstrcatW
                  1C2 GetSystemDirectoryW
                  1A0 GetProcAddress
                  17F GetModuleHandleA
                  1FF GlobalFree
                  1F8 GlobalAlloc
                  1B6 GetShortPathNameW
                  2DC SearchPathW
                  3C4 lstrcmpiW
                  31F SetFileTime
                   34 CloseHandle
                   BD ExpandEnvironmentStringsW
                  3C1 lstrcmpW
                  150 GetDiskFreeSpaceW
                  3CD lstrlenW
                  3CA lstrcpynW
                  15A GetExitCodeProcess
                   D5 FindFirstFileW
                   DD FindNextFileW
                   84 DeleteFileW
                  31B SetFilePointer
                  2B5 ReadFile
                   CE FindClose
                  274 MulDiv
                  275 MultiByteToWideChar
                  3CC lstrlenA
                  394 WideCharToMultiByte
                  19D GetPrivateProfileStringW
                  3AA WritePrivateProfileStringW
                   F8 FreeLibrary
                  254 LoadLibraryExW
                  182 GetModuleHandleW

    USER32.dll
                408198 Import Address Table
                40873C Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                  15C GetSystemMenu
                  248 SetClassLongW
                  1AE IsWindowEnabled
                   C2 EnableMenuItem
                  283 SetWindowPos
                  15A GetSysColor
                  16F GetWindowLongW
                  24D SetCursor
                  1BD LoadCursorW
                   38 CheckDlgButton
                  13C GetMessagePos
                  1B9 LoadBitmapW
                   1C CallWindowProcW
                  1B1 IsWindowVisible
                   42 CloseClipboard
                  24A SetClipboardData
                   C1 EmptyClipboard
                  1F6 OpenClipboard
                  2D8 wsprintfW
                  231 ScreenToClient
                  174 GetWindowRect
                  15D GetSystemMetrics
                  254 SetDlgItemTextW
                  114 GetDlgItemTextW
                  1E3 MessageBoxIndirectW
                   2F CharPrevW
                   2A CharNextA
                  2D7 wsprintfA
                   A2 DispatchMessageW
                  201 PeekMessageW
                  10C GetDC
                  22A ReleaseDC
                   C4 EnableWindow
                  193 InvalidateRect
                  240 SendMessageW
                   8F DefWindowProcW
                    D BeginPaint
                   FF GetClientRect
                   E2 FillRect
                   C6 EndDialog
                  219 RegisterClassW
                  29A SystemParametersInfoW
                   61 CreateWindowExW
                   F9 GetClassInfoW
                   9F DialogBoxParamW
                   2C CharNextW
                   E1 ExitWindowsEx
                   99 DestroyWindow
                  1C1 LoadImageW
                  27A SetTimer
                  287 SetWindowTextW
                  204 PostQuitMessage
                  292 ShowWindow
                  111 GetDlgItem
                  1AD IsWindow
                  281 SetWindowLongW
                   E5 FindWindowExW
                  2A4 TrackPopupMenu
                    9 AppendMenuW
                   5E CreatePopupMenu
                   BF DrawTextW
                   C8 EndPaint
                   56 CreateDialogParamW
                  23F SendMessageTimeoutW
                  257 SetForegroundWindow

    GDI32.dll
                40804C Import Address Table
                4085F0 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                  20E SelectObject
                  216 SetBkMode
                   3D CreateFontIndirectW
                  23C SetTextColor
                   8F DeleteObject
                  16B GetDeviceCaps
                   29 CreateBrushIndirect
                  215 SetBkColor

    SHELL32.dll
                40817C Import Address Table
                408720 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                   C3 SHGetSpecialFolderLocation
                   BD SHGetPathFromIDListW
                   7A SHBrowseForFolderW
                   AD SHGetFileInfoW
                  10B ShellExecuteW
                   9B SHFileOperationW

    ADVAPI32.dll
                408000 Import Address Table
                4085A4 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                  1D7 RegDeleteKeyW
                  22F SetFileSecurityW
                  1AC OpenProcessToken
                  150 LookupPrivilegeValueW
                   1C AdjustTokenPrivileges
                  1ED RegOpenKeyExW
                  1E2 RegEnumValueW
                  1D9 RegDeleteValueW
                  1CB RegCloseKey
                  1D2 RegCreateKeyExW
                  205 RegSetValueExW
                  1F8 RegQueryValueExW
                  1E0 RegEnumKeyW

    COMCTL32.dll
                408038 Import Address Table
                4085DC Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                   34 ImageList_AddMasked
                      Ordinal 17
                   38 ImageList_Destroy
                   37 ImageList_Create

    ole32.dll
                4082A0 Import Address Table
                408844 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                  105 OleUninitialize
                   EE OleInitialize
                   65 CoTaskMemFree
                   10 CoCreateInstance

  Summary

       21000 .data
       36000 .ndata
        2000 .rdata
       13000 .rsrc
        7000 .text

C:\Users\Administrator\Desktop\1>

可以发现这里面并没有wow64log.dll这个导入dll，那么他有可能是动态加载的，也有可能是默认加载的。这样我们就不需要考虑这个dll的导出函数了，直接伪造一个dll即可。

首先我们要知道这个可执行程序32位还是64位，我们可以用DIE或者x64dbg去查看。

这里看得出来是PE32，那么我们要构造的dll也就是32位的dll。

我们在进程附加的时候去弹出一个信息框

这里我们选择和程序对应的架构。X86编译出来就是PE32。

编译好之后我们和可执行文件放到同目录下去执行文件即可。

很遗憾我们并没有去加载成功我们的dll，此时就说明此文件不是我们可以利用的程序，我们需要去更换程序。我们需要继续去以上步骤去重新找白程序文件。

这里我们找到一个企业微信里面的exe我们再去尝试一下。

可以看出我们先加载了dbghelp.dll我们将我们之前的文件名字改成这个名字看看是否可以运行。

此时看到这个图，不要认为我们又要换白程序了，报错是成功的一大步，到这里就说明我们已经成功百分之90了，这里的问题是我们dll虽然有了但是程序加载我们的dll后调用的函数我们并没有提供，好的我们用dumpbin来看下。

C:\Users\Administrator\Desktop\1>dumpbin /imports minidump.exe
Microsoft (R) COFF/PE Dumper Version 14.36.32535.0
Copyright (C) Microsoft Corporation. All rights reserved.


Dump of file minidump.exe

File Type: EXECUTABLE IMAGE

  Section contains the following imports:

    dbghelp.dll
                403108 Import Address Table
                403A6C Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                   1D MiniDumpWriteDump

这里可以看到我们的dll需要一个MiniDumpWriteDump这个函数，我们在代码中添加一下。