蓝队的噩梦，让PE保持隐形

白加黑组装完成后，由于DLL不具备有效数字签名，容易成为逆向工程分析的对象。现在，我们需要对其进行处理让其保持隐形。

封面设计

一、问题分析

使用visual studio编译后，DLL容易被分析，主要体现在以下几点，

1.编程语言，编译时间暴露

2.导入表可见，容易被分析

现在，我们需要清除时间、清除标头、摧毁导入表，使其难以分析。

二、PE强化

首先，我们需要针对DLL进行核心保护，也就是加壳，我们采用知名软件themida，其强大的代码虚拟化技术可以实现这一点：

拖入编译好的DLL至themida，保护选项我们不需要，我们只需核心的代码虚拟化即可，选择一个强度较高的虚拟机名称，确保加壳后程序依然免杀。

加壳后的程序

现在，我们的程序已经进行了保护，代码段哈希值已改变，所有字符串已混淆，导入表全部摧毁。

加壳后的程序

IDA无法分析

"导入表段似乎已被破坏。这可能意味着文件已被加壳或修改，以增加分析难度。如果您希望查看原始形式的导入表段，请取消勾选‘创建导入表段’（make imports section）复选框后重新加载文件。"

但从静态上看，Rich Header未消除，节区名称存在themida壳特征，以及时间戳未消除。

加壳遗留问题

Rich Header它主要用于记录编译环境信息（如编译器版本、编译次数等），在恶意软件分析和软件溯源中具有重要价值。

接下来，我们将使用另一个工具修补这一点，它将清除时间戳，擦除Rich Header，以及擦除节区名称，完成后：

清除时间戳，破坏编译指纹

擦除节区名称

三、结论

现在，我们在编译的基础上，使用了2个工具将DLL进行了内部和外部的保护，获得了几个保护后的DLL。经过测试，各大杀软均无法检测。

windows defender

X60安全卫士

火绒安全

这些工具将在白加黑项目中携带。

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• 仅可用于已获得书面授权的目标系统测试；
• 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• 什么是完全无法检测的cobaltstrike
• 高级lnk快捷方式新技术VS全球顶尖杀软
• 高级lnk快捷方式新技术
• AV终结者结束进程
• LNK快捷方式的检测与突破
• 红队加载器过主流杀软-混淆最终版
• 为什么没人愿意做网络安全？
• 红队有效载荷加载器
• 10行代码即可免杀全球绝大多数杀毒软件
• Cobaltstrike4.9.1平台高级匿名技术手册
• Cobaltstrike4.9.1平台基础部署手册
• 还在用bof截图？现在不需要了
• 全网唯一，高级LNK快捷方式新技术发布
• 来看下泳池派对还能绕过多少杀毒软件
• 高级lnk快捷方式武器化
• 顶级武器-完全无法检测的cobalt strike