本文用到的白程序回復公眾號20231211進行獲取。

嗯… 記得去年HW的時候某信服給我裝的EDR一直沒卸載，不是不想卸載，是因為卸載要密碼，所以就擺爛了。。。。

找到EDR這個目錄，然后把目錄復制到虛擬機中，然后一個一個exe查看的時候發現將updater.exe復制到桌面打開的時候缺少libepsbase.dll這個文件文件。

我們創建一個動態鏈接庫將導出函數寫進去

extern "C" __declspec(dllexport) int error_output() {
}
extern "C" __declspec(dllexport) int dirutils_path_transform() {
}
extern "C" __declspec(dllexport) int autolog_init() {}
extern "C" __declspec(dllexport) int error_output_check() {}

然后在dllMain方法中輸出一個MessageBoxA

編譯x64位的dll然后，然后將這個文件和updater.exe放在同一目錄，將dll名字改為libepsbase.dll

雙擊udater.exe執行。

如下圖updater.exe這個程序，可以看到這個程序的簽名是某信服的，而且是正常的簽名。

這樣的話我們是不是可以通過白程序->dll->dllMain->shellcode

剩下的各位自己發揮吧

下面貼一張圖過360的。



到這里就結束了，動動你的小手點個關注唄，你的關注就是我寫文章的動力。