ZeroEye 用于扫描 EXE 文件的导入表,列出导入的DLL文件,并筛选出非系统DLL,符合条件的文件将被复制到特定的 bin 文件夹,并生成 Infos.txt 文件记录DLL信息。自动化找白文件,灰梭子好搭档!!!
灰梭子 快速对dll进行解析函数名,并且生成对应的劫持代码,实现快速利用vs进行编译,提供了劫持模板,可前往获取。
- 1.0 可在Release中获取
- 2.0 可在Release中获取
- 3.0 船新版本将不再在以上基础上更新,以后将完全使用c++完成所有操作!!!
- 3.1 修复bug
- 3.2 优化输出和禁用损坏映像提示
- 3.3 优化扫描速度、同时支持x64 or x86导入导出表、模板生成、检测dll嵌套调用、签名校验
- 修复dll复制不全,exe路径下如不存在dll!
| 项目名 | 备注 |
|---|---|
| x64/ZeroEye.exe | 检测x64白进程 |
| x86/ZeroEye.exe | 检测x86白进程 |
| Find_All.py | 自动调用以上项目,实现自动遍历系统所有exe,将exe和dll自动放到当前路径的bin文件夹中。 |
- 添加对只有exe和info两个文件进行剔除,只保留文件夹下存在多个文件的情况!
- 优化代码效率
| 项目名 | 备注 |
|---|---|
| x64/ZeroEye.exe | 检测x64白进程 |
| x86/ZeroEye.exe | 检测x86白进程 |
Usage: ZeroEye [options]
-h 帮助
-i <Exe 路径> 列出Exe的导入表
-p <文件路径> 自动搜索文件路径下可劫持利用的白名单
example:
ZeroEye.exe -p c:\ //搜索c盘所有exe是否有劫持的可能
ZeroEye.exe -i aaa.exe //判断指定exe是否有劫持的可能
-
修复遍历导入表时,遇到空格名称输出问题。
-
修复目录遍历功能,可正常遍历整个盘符。
-
修复dllname触发的0xc05的内存访问冲突报错。
-
整理代码,并且对部分做出调整。
-
优先排序可劫持目录顺序,例如:可劫持的用户dll为1个,那么输出的目录名称为(1)、xxxx
-
禁用损坏镜像的信息提示。
-
优化Is_SystemDLL中的LoadLibraryA改为LoadLibraryExA,防止恶意dll被加载!!
-
优化代码,实现快速扫盘
-
查看64 or 86的导入导出表
-
dll递归查询
-
签名校验
-
生成模板
