ghostwin7x32位-()

明修栈道，暗度陈仓是一个汉语成语，是指将真实的意图隐藏在表电脑面的行动背后，用明显的行动迷惑对方，使敌人产生错觉，并忽略自己的真实意图，从而出奇制胜。

黑客里也有这样的技术的，在行话里叫白加黑技术。大体意思是用一个微软签名（或是大公司签名）的软件，调用黑客们写的恶意程序，从而达到躲避杀毒软件的目的。如果用一个更贴切的成语来形容，叫做借尸还魂，我嫌不好听，所以在题目里写成了明修栈道，暗度陈仓。

本文给你举一个例子吧。我们用的软件是微软签名的一个小程序，下载地址在：

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon。

一、测试环境的准备

1、请下载上文的sysmon，里边有64位版和32位版。我们只用到了32位版。在sysmon.exe的右键上点击属性，可以看到微软签名。

2、用pentestbox生成一个执行计算器的dll，名字为wevtapi.dll。pentetsbox官网在https://pentestbox.org/，注意下载带有安装有 Metasploit 的 PentestBox。WIN10下使用，在打开的界面里要输入CMD一次才能正常使用。我在本头条号上其它文章里多次提过pentestbox的下载地址以及在WIN10上使用的注意事项了，注意看我文章里下边的图。在pentestbox的界面里运行命令：

msfvenom -p windows/exec CMD=calc.exe -f 电脑 dll -o d:/wevtapi.dll

二、我们来找环境测试

准备一台WIN7x32位的机器，把你下载的sysmon.exe和生成的wevtapi.dll放在同一个目录底下。

我们在命令行底下运行：sysmon.exe -u，计算器就会弹了出来。

三、你心中的疑惑我来给你解答一下

为什么是wevtapi.dll这个DLL名呢？我在《打开记事本就能中木马？微软到现在都不太关心的DLL劫持漏洞》这篇文章里讲解过如何来寻找这个dll名字的办法了。你有可能会发现用这个办法来寻找一些其它EXE调用的DLL名字有时并不好用，那是如电脑何寻找的呢，再是为什么是-U参数呢，其实是反汇编分析exe得来的，这个本文就暂且不讲解了,因为我也不太会,讲不明白。

海阳顶端头条号，一个认真写作黑客文章的创作者，每篇文章都是实例测试的，希望得到你的关注和喜欢。