本文用到的白程序回复公众号20231211进行获取。
嗯… 记得去年HW的时候某信服给我装的EDR一直没卸载,不是不想卸载,是因为卸载要密码,所以就摆烂了。。。。
找到EDR这个目录,然后把目录复制到虚拟机中,然后一个一个exe查看的时候发现将updater.exe复制到桌面打开的时候缺少libepsbase.dll这个文件文件。
我们创建一个动态链接库将导出函数写进去
extern "C" __declspec(dllexport) int error_output() {
}
extern "C" __declspec(dllexport) int dirutils_path_transform() {
}
extern "C" __declspec(dllexport) int autolog_init() {}
extern "C" __declspec(dllexport) int error_output_check() {}
然后在dllMain方法中输出一个MessageBoxA
编译x64位的dll然后,然后将这个文件和updater.exe放在同一目录,将dll名字改为libepsbase.dll
双击udater.exe执行。
如下图updater.exe这个程序,可以看到这个程序的签名是某信服的,而且是正常的签名。
这样的话我们是不是可以通过白程序->dll->dllMain->shellcode
剩下的各位自己发挥吧
下面贴一张图过360的。
到这里就结束了,动动你的小手点个关注呗,你的关注就是我写文章的动力。