文章总结: 本文详细介绍了白影v2.2自动化白加黑免杀工具的核心特性与实战应用。该工具通过EATPatch(导出表劫持)技术,在无需编译环境的情况下,利用合法白程序加载恶意载荷,实现免杀。其提供覆盖与新增节两种EAT模式及反沙箱模板,支持自动化扫描与生成,实测可有效绕过主流杀软(如360、Defender)及沙箱环境,旨在简化红队操作流程。 综合评分: 85 文章分类: 免杀,红队,恶意软件,安全工具,实战经验
白影v2.2:零编译环境、EAT双模式、反沙箱 | 自动化白加黑免杀全解析
原创
词不达意 词不达意
词不达意安全团队
2026年6月28日 10:42 上海
在小说阅读器读本章
去阅读
白加黑
“白加黑”,顾名思义,就是指攻击者通过使用白程序,如厂商数字签名的合法程序、系统内置组件程序、安全厂商高权限程序等类似软件,加载黑样本(攻击者的恶意样本,常见DLL文件,图片文件,数据bin文件等)。由于白程序一般为高可信程序,会被杀毒软件标记为白名单,所执行行为不会被检测,攻击者可利用此种方式,绕过杀软对恶意行为的拦截。
白影 v2.2
白影从1.0迭代到今天v2.2版本,如果让我用一个词概括它的演进方向,那就是“克制”。在功能上做加法很容易,堆更多的Loader执行方式、支持更多的加密算法、但这些功能如果缺乏场景验证,最终只会让界面越来越复杂、让用户越来越困惑。v2.2在做的其实是减法:移除冗余的外部依赖、合并重复的操作流程、用两套EAT模式覆盖绝大多数实战场景而不是追求“十八种加载方式”。一个好的安全工具,不是功能最多的那个,而是让使用者用最少的操作、最稳的方式达成目标。
零编译环境依赖
传统白加黑免杀方案往往要求使用者在本地搭建完整的开发环境:安装Visual Studio、配置Windows SDK、设置C++编译链、解决各种运行时库依赖……光是让一个DLL工程成功编过,就能劝退一半的新手。更麻烦的是,不同版本的VS编译出来的DLL在兼容性和特征上都有差异,到了目标机器上还可能因为缺少VC运行时而直接加载失败。
白影v2.2完全绕过了“
编译”这个环节。它的核心能力是EAT Patch(导出表劫持),直接在原始DLL的二进制文件上做定点修改——不需要源代码、不需要重新编译、不需要任何开发环境。你拿到的是一个开箱即用的exe,双击打开,选目标、传Shellcode、点生成,三步收工。真正做到了“零环境依赖”。
| EAT Patch | 模式1(EAT 覆盖) | 模式2(EAT 新增节) | | — | — | — | | 原理 | 找宿主函数直接覆盖写入 | 追加 .hijack 节 + 跳转存根 | | 文件大小 | 不变 | 略增(shellcode + 存根 + 对齐) | | shellcode 大小限制 | 受限于宿主函数间隙 | 无限制 | | 失败可能性 | 间隙不够时失败 | 几乎总是成功 |
使用教程
扫描白程序目标
选择待扫描目录,通常为电脑软件安装目录,点击「开始扫描」,等待完成
免杀生成
模板一般选择template_normal.bin,EAT 模式默认选择新增节
- •
template_normal.bin:默认模板 - •
template_sandbox.bin:反沙箱版本(可绕过virustotal、微步、天穹沙箱、奇安信情报沙箱。)
选择Shellcode支持.bin类型,处理数量建议全选。
点击「开始生成」,自动生成免杀白加黑载荷,点击「批量运行」启动目标程序,在 C2 侧观察回连。
或者输出目录
output 目录手动验证
运行白程序正常上线
兼容性
Windows Server 2012正常上线,只要白程序支持都能正常运行。
技巧
准备一台虚拟机专门安装各类软件,高效挖掘多个实战可用白加黑,只需要点几下界面。
规避效果
VirusTotal零检测,实测多个生成载荷基本低检测。
反沙箱可检测绝大部分环境
火绒
360全家桶
Defender
Eset
纷传介绍
工具加入纷传获取
圈子往期文件内容如下
- •冲锋马一键生成工具(一键生成免杀loader)
- •lnk文件一键生成工具(一键生成免杀钓鱼lnk文件)
- •bypass内存扫描插件(可绕过火绒、卡巴斯基等杀软内存扫描cs插件)
- •暗涌在线免杀平台(白文件patch免杀loader(分离、单文件)一键生成平台、支持反沙箱)
- •bypass任务计划工具(普通权限可添加、钓鱼快速免杀维权)
- •后渗透工具免杀(petobin,分离加载避免静态落地被秒)
- •BYOVD攻击一键结束赛门铁克进程
- •BinPatch免杀工具过国内主流杀软
- •白影(whiteShadow)自动化白加黑免杀工具v1.0
- •白影(whiteShadow)自动化白加黑免杀工具v2.1
- •Windows恶意软件常见API一览(PDF)
- •Maldev Academy 恶意软件开发完整课程(源码+VM镜像)
- •SplitRun一款exe免杀工具v1.0
- •cs4.5二开过火绒内存扫描
- •binfileBinder文件捆绑工具
- •RPC添加计划任务绕过360核晶
- •DarkTide内部版单文件免杀
- •VoidShell/VoidShell-fe内部版:x86-64 Linux ELF 加壳混淆工具
- •白影(whiteShadow)自动化白加黑免杀工具v2.2
重要声明
本文所涉及的技术、思路和工具仅用于本地靶场安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担,禁止用于任何非法渗透测试,以及无授权违法测试,请遵守中华人民共和国网络安全法。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:词不达意安全团队 词不达意 词不达意《白影v2.2:零编译环境、EAT双模式、反沙箱 | 自动化白加黑免杀全解析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论