白加黑保姆教程通杀主流杀软

简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的，那么就需要对exe加载的dll进行了解。

0x01 DLL前置知识
DLL路径搜索目录顺序
• 1. 程序所在目录
• 2. 程序加载目录（SetCurrentDirectory）
• 3. 系统目录即 SYSTEM32 目录
• 4.16 位系统目录即 SYSTEM 目录
• 5.Windows 目录
• 6.PATH 环境变量中列出的目录
Know DLLs 注册表项
Know DLLs 注册表项里的 DLL 列表在应用程序运行后就已经加入到了内核空间中，多个进程公用这些模块，必须具有非常高的权限才能修改。
Know DLLs 注册表项的路径为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
劫持应用中存在的 dll

直接转发 Direcrt Forwarding
直接转发对主程序来说，其实就是调用了原来 dll 的某个函数。
1.修改导出表
在导出表中，将要转发的函数入口地址指向另一个DLL对应函数的入口地址
2.实际调用过程
其他程序调用DLL中被转发的函数时，系统会重定向到转发目标DLL中的对应函数。
设 DLL A 中的函数 MyFunction() 被直接转发到 DLLB 中的函数 RealFunction()，那么调用 MyFunction() 实际上会调用 RealFunction()。

及时调用 Delay Load and Call
即时调用实际上是调用了劫持 dll 的某个函数，只不过那个函数会 jmp 到原本的 dll 中的相应函数的地址。达到的效果相同，但是实现的原理不同。

延迟加载目标 DLL
当 DLL A 中的函数被调用时，首先使用 LoadLibrary 加载目标 DLLB。
获取函数入口地址
然后使用 GetProcAddress 获取目标 DLL 中要调用的函数的入口地址。
实际调用过程：
使用获取到的函数入口地址调用目标函数。
这种方式的优点是，可以在需要调用函数时才加载目标 DLLB.
注意事项
不管是转发还是劫持，都需要注意使用对应位数的shellcode，可以使用01Eidor来打开exe查看，生成dll时候也需注意。
DllMain 入口函数
这是动态链接库的可选入口点。系统启动或终止进程或线程的时候，它会使用进程的第一个线程为每个加载的DLL来调用入口点函数。
当Dll使用LoadLibrary加载和使用FreeLibrary函数卸载dll时候，系统还会回调该函数的入口点函数。

DLL_PROCESS_ARRACH
当一个dll文件被映射到进程的地址空间时，系统调用dllmain，传递fdwReason参数为DLL_PROCESS_ARRACH,只会被传递一次。
DLL_PROCESS_DETACH
当dll被从进程的地址空间接触映射时调用
比如：
1.调用FreeLibray()
2.进程结束
3.传入DLL_PROCESS_ATTACH的dllmain返回False
DLL_PROCESS_ATTACH
当进程创建一线程调用时，与DLL_PROCESS_ATTACH不同，该值可以被多次调用。