声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

xwizard.exe应该为Extensible wizard的缩写，中文翻译可扩展的向导主机进程，暂时无法获得官方资料。

利用xwizard.exe加载dll可以绕过应用程序白名单限制，该方法最大的特点是xwizard.exe自带微软签名，在某种程度上说，能够绕过应用程序白名单的拦截。

xwizard.exe支持Win7及以上操作系统，位于%windir%\system32\下。

对应64位系统：

• %windir%\system32\对应64位xwizard.exe，只能加载64位xwizards.dll
• %windir%\SysWOW64\对应32位xwizard.exe，只能加载32位xwizards.dll

直接双击运行xwizard.exe获取帮助用法：

此处借用Github上面的两个弹窗的dll文件进行白名单程序Xwizard.exe执行dll的演示

用%windir%\system32\xwizard.exe执行64位的dll文件（msg_x64.dll）：

将文件%windir%\system32\xwizard.exe复制到C:\x\64\文件夹下，并将msg_x64.dll重命名为xwizards.dll

执行：xwizard processXMLFile 1.txt

用%windir%\SysWOW64\xwizard.exe执行32位的dll文件（msg.dll）：

将文件%windir%\SysWOW64\xwizard.exe复制到C:\x\32\文件夹下，并将msg.dll重命名为xwizards.dll

执行：xwizard processXMLFile 1.txt

简便起见，本想采用cs生成shellcode编译后的dll进行反弹shell，但是一直没有上线成功~~不知道是cs环境问题还是编译问题，那就使用t00ls上的一款dll劫持工具进行反弹shell吧。

此处以生成32位dll为例进行反弹shell，如图：

将生成的server.dll放在Xwizard.exe同目录中；

服务端监听nc端口：nc -lv 8801

Win 2008中利用Xwizard.exe执行dll，如图：

在装有360安全卫士的主机上进行nc反弹时，360会报警。

针对dll文件进行查杀检测，发现是可以过火绒杀毒的，如图：

VT查杀效果，如图：

1、再次尝试了利用Msf反弹shell，使用Msf生成C语言shellcode，编译为dll文件。但是仍然无法上线，猜测可能是dll编译出现了问题，就编译生成的dll文件进行了查杀，360、火绒均会报毒！

使用VT查杀Msf生成的dll文件，查杀率15/70，如图：

2、Xwizard.exe在研究过程中发现360安全卫士对其未进行行为报警，初步猜测如果dll文件免杀能力强的话，完全可以bypass大部分的杀毒软件。

https://3gstudent.github.io/3gstudent.github.io/Use-xwizard.exe-to-load-dll/