明修栈道，暗陈仓是一个汉语成语，意思是把真实意图藏在表面行动背后，用明显的行动迷惑对方，让敌人产生错觉，忽略自己的真实意图，从而出人意料地获胜。

黑客也有这样的技术，在行话中被称为白加黑技术。一般来说，使用微软签名（或大公司签名）软件，调用黑客编写的恶意程序，以避免杀毒软件。假如用一个更合适的成语来形容，叫借尸还魂，我觉得不好听，所以在题目中写成了明修栈道，暗度陈仓。

给你举个例子。下载地址为：

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon。

一、准备测试环境

请下载以上内容sysmon，有64位版和32位版。我们只用了32个版本。在sysmon.exe点击右键上的属性，可以看电脑到微软签名。

2、用pentestbox生成执行计算器dll，名字为wevtapi.dll。pentetsbox官网在https://pentestbox.org/注意安装下载带 Metasploit 的 PentestBox。WIN使用10次，输入打开界面CMD一次正常使用。本头条号其他文章多次提及pentestbox下载地址及在WIN10使用的注意事项，请注意我文章下面的图片。在pentestbox操作命令在界面中：

msfvenom -p windows/exec CMD=calc.exe -f dll -o d:/wevtapi.dll

二、我们来找环境测试

准备一台WIN7x32位的机器，把你下载的sysmon.exe和生成的wevtapi.dll放在同一目录下。

电脑

我们在命令行下运行：sysmon.exe -u，计算器会弹出。

我电脑们在命令行下运行：sysmon.exe -u，计算器会弹出。

三、我来回答你心中的疑惑。

为什么是wevtapi.dll这个DLL名呢？打开记事本就能中木马？到目前为止，微软还不太关心DLL本文解释了如何找到劫持漏洞dll名字的方法。你可能会发现用这种方法寻找其他方法EXE调用的DLL有时候名字不好用，怎么找？为什么？-U参数实际上是反汇编分析exe这篇文章暂时不解释，因为我不太擅长，也不懂。