文章总结： 文档对比了DLL侧载与代理技术，指出侧载易被卡巴斯基检测，而DLL代理通过转发机制保持原程序功能，隐蔽性更强。针对CobaltStrike报毒问题，建议修改插件密钥与字符串。结论是DLL代理更难被内存扫描识别，适用于权限维持，推荐优先使用该技术替代传统侧载以规避检测。 综合评分： 81 文章分类： 免杀,红队,内网渗透,实战经验,恶意软件

DLL侧载和DLL代理

原创

陆安予

白帽子安全笔记2.0

2025年12月25日 12:44 江苏

DLL侧载和DLL代理都属于DLL劫持，事实证明，使用DLL代理技术更难以被检测。

一、完全无法检测的Cobalt Strike

使用DLL侧载技术，搭载我们完全无法检测的有效载荷payload_x64.bin时，有概率出现如下问题:

1.在卡巴斯基环境下快速扫描时有概率报MEM:Trojan.Win32.SEPEH.gen，究其原因，是因为使用了[工具发布]幻影加载器GUI，高级堆栈欺骗，虽然具备堆栈欺骗Buff，但连同导入表一并打包，加载此载荷时内存扫描容易判断为存在一个PE，可暂时放弃使用该工具。

2.在卡巴斯基环境下快速扫描时有概率报Cobalt.gen，以前并未出现此问题，由于配置统一不排除样本被获取，我们使用强大的可塑性轻松修复这一点:

修改修补插件中的默认密钥$xorkey，修改修补插件中$beacon_dll字符串部分，稍加变动任意字符即可。

完成这两个步骤后，上述问题消失。

二、DLL侧载与DLL代理

DLL侧载漏洞[1]相对公开，针对其检测规则也较为普遍，很容易被检测到。

我们使用DLL代理，它的特点是一种混合与转发，由于不影响程序功能则更为隐蔽。现在，无论我们何时扫描，如何扫描，均无法被检测到。

绕过内存扫描

在目标上执行命令

三、使用场景

DLL侧载通常用于初始访问，但由于其较高的检测率存在局限性，DLL代理通常用于维持权限。如在使用LNK时大幅更新-高级lnk快捷方式新技术，可采用无PE加载器替代DLL侧载。

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• • [版本更新]高级lnk快捷方式武器化GUI
• • 大幅更新-高级lnk快捷方式新技术
• • 完全无法检测的cobaltstrike更新
• • [工具发布]幻影加载器GUI，高级堆栈欺骗
• • [工具发布]高级lnk快捷方式武器化GUI
• • AV终结者结束进程
• • LNK快捷方式的检测与突破
• • 红队加载器过主流杀软-混淆最终版
• • 红队有效载荷加载器
• • 10行代码即可免杀全球绝大多数杀毒软件
• • Cobaltstrike4.9.1平台高级匿名技术手册
• • Cobaltstrike4.9.1平台基础部署手册
• • 全网唯一，高级LNK快捷方式新技术发布
• • 高级lnk快捷方式武器化
• • 顶级武器-完全无法检测的cobalt strike

引用链接

[1] : https://hijacklibs.net

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予《DLL侧载和DLL代理》