白影v2.2:零编译环境、EAT双模式、反沙箱|自动化白加黑免杀全解析

admin 2026-06-30 09:25:05 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细介绍了白影v2.2自动化白加黑免杀工具的核心特性与实战应用。该工具通过EATPatch(导出表劫持)技术,在无需编译环境的情况下,利用合法白程序加载恶意载荷,实现免杀。其提供覆盖与新增节两种EAT模式及反沙箱模板,支持自动化扫描与生成,实测可有效绕过主流杀软(如360、Defender)及沙箱环境,旨在简化红队操作流程。 综合评分: 85 文章分类: 免杀,红队,恶意软件,安全工具,实战经验


cover_image

白影v2.2:零编译环境、EAT双模式、反沙箱 | 自动化白加黑免杀全解析

原创

词不达意 词不达意

词不达意安全团队

2026年6月28日 10:42 上海

在小说阅读器读本章

去阅读

白加黑

“白加黑”,顾名思义,就是指攻击者通过使用白程序,如厂商数字签名的合法程序、系统内置组件程序、安全厂商高权限程序等类似软件,加载黑样本(攻击者的恶意样本,常见DLL文件,图片文件,数据bin文件等)。由于白程序一般为高可信程序,会被杀毒软件标记为白名单,所执行行为不会被检测,攻击者可利用此种方式,绕过杀软对恶意行为的拦截。

白影 v2.2

白影从1.0迭代到今天v2.2版本,如果让我用一个词概括它的演进方向,那就是“克制”。在功能上做加法很容易,堆更多的Loader执行方式、支持更多的加密算法、但这些功能如果缺乏场景验证,最终只会让界面越来越复杂、让用户越来越困惑。v2.2在做的其实是减法:移除冗余的外部依赖、合并重复的操作流程、用两套EAT模式覆盖绝大多数实战场景而不是追求“十八种加载方式”。一个好的安全工具,不是功能最多的那个,而是让使用者用最少的操作、最稳的方式达成目标。

零编译环境依赖

传统白加黑免杀方案往往要求使用者在本地搭建完整的开发环境:安装Visual Studio、配置Windows SDK、设置C++编译链、解决各种运行时库依赖……光是让一个DLL工程成功编过,就能劝退一半的新手。更麻烦的是,不同版本的VS编译出来的DLL在兼容性和特征上都有差异,到了目标机器上还可能因为缺少VC运行时而直接加载失败。

白影v2.2完全绕过了“编译”这个环节。它的核心能力是EAT Patch(导出表劫持),直接在原始DLL的二进制文件上做定点修改——不需要源代码不需要重新编译、不需要任何开发环境。你拿到的是一个开箱即用的exe,双击打开,选目标、传Shellcode、点生成,三步收工。真正做到了“零环境依赖”。

| EAT Patch | 模式1(EAT 覆盖) | 模式2(EAT 新增节) | | — | — | — | | 原理 | 找宿主函数直接覆盖写入 | 追加 .hijack 节 + 跳转存根 | | 文件大小 | 不变 | 略增(shellcode + 存根 + 对齐) | | shellcode 大小限制 | 受限于宿主函数间隙 | 无限制 | | 失败可能性 | 间隙不够时失败 | 几乎总是成功 |

使用教程

扫描白程序目标

选择待扫描目录,通常为电脑软件安装目录,点击「开始扫描」,等待完成

免杀生成

模板一般选择template_normal.bin,EAT 模式默认选择新增节

  • • template_normal.bin:默认模板
  • • template_sandbox.bin:反沙箱版本(可绕过virustotal、微步、天穹沙箱、奇安信情报沙箱。)

选择Shellcode支持.bin类型,处理数量建议全选。

点击「开始生成」,自动生成免杀白加黑载荷,点击「批量运行」启动目标程序,在 C2 侧观察回连。

或者输出目录output 目录手动验证 运行白程序正常上线

兼容性

Windows Server 2012正常上线,只要白程序支持都能正常运行。

技巧

准备一台虚拟机专门安装各类软件,高效挖掘多个实战可用白加黑,只需要点几下界面。

规避效果

VirusTotal零检测,实测多个生成载荷基本低检测。 反沙箱可检测绝大部分环境 火绒

360全家桶

Defender Eset

纷传介绍

工具加入纷传获取

圈子往期文件内容如下

  • •冲锋马一键生成工具(一键生成免杀loader)
  • •lnk文件一键生成工具(一键生成免杀钓鱼lnk文件)
  • •bypass内存扫描插件(可绕过火绒、卡巴斯基等杀软内存扫描cs插件)
  • •暗涌在线免杀平台(白文件patch免杀loader(分离、单文件)一键生成平台、支持反沙箱)
  • •bypass任务计划工具(普通权限可添加、钓鱼快速免杀维权)
  • •后渗透工具免杀(petobin,分离加载避免静态落地被秒)
  • •BYOVD攻击一键结束赛门铁克进程
  • •BinPatch免杀工具过国内主流杀软
  • •白影(whiteShadow)自动化白加黑免杀工具v1.0
  • •白影(whiteShadow)自动化白加黑免杀工具v2.1
  • •Windows恶意软件常见API一览(PDF)
  • •Maldev Academy 恶意软件开发完整课程(源码+VM镜像)
  • •SplitRun一款exe免杀工具v1.0
  • •cs4.5二开过火绒内存扫描
  • •binfileBinder文件捆绑工具
  • •RPC添加计划任务绕过360核晶
  • •DarkTide内部版单文件免杀
  • •VoidShell/VoidShell-fe内部版:x86-64 Linux ELF 加壳混淆工具
  • •白影(whiteShadow)自动化白加黑免杀工具v2.2

重要声明

本文所涉及的技术、思路和工具仅用于本地靶场安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担,禁止用于任何非法渗透测试,以及无授权违法测试,请遵守中华人民共和国网络安全法。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:词不达意安全团队 词不达意 词不达意《白影v2.2:零编译环境、EAT双模式、反沙箱 | 自动化白加黑免杀全解析》

ClaudeCode使用 网络安全文章

ClaudeCode使用

文章总结: 本文介绍ClaudeCodeAI编程助手的使用方法,包括切换国内模型的操作步骤、常用CLI命令和交互式斜杠命令功能说明,以及手动安装Skill扩展组
评论:0   参与:  0