DLL劫持之IAT类型(挖掘)

最新推荐文章于 2024-10-10 22:13:52 发布
最新推荐文章于 2024-10-10 22:13:52 发布
阅读量136 收藏
点赞数 3
文章标签: 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/135744075
版权

针对非LoadLibrary而是从IAT表导入函数的程序,不能用导出函数的方法

导入表调用在程序执行开头,那么可以在解析PE头的时候调用 DLL­MAIN

MODULEINFO moduleInfoe;
SIZE_T bytesWritten;
 
GetModuleInformation(GetCurrentProcess(), GetModuleHandle(NULL), &moduleInfoe,sizeof(moduleInfoe));
 
char EntryAddr[MAX_PATH] = { 0 };
_itoa_s((int)moduleInfoe.EntryPoint, EntryAddr, 10);
unsigned char shellcode[] = "";
int shellcode_size = 1024;
HANDLE currentProcess = GetCurrentProcess();

WriteProcessMemory(currentProcess, moduleInfoe.EntryPoint, (LPCVOID)&shellcode, shellcode_size, &bytesWritten);

导入表函数格式

手动写导入太麻烦,借助python的PEfile库直接读取导入表中的函数

https://github.com/erocarrera/pefile

首先定位判断dll名称

然后获取导入表的函数

获取到函数之后按照格式输出

以印象笔记下的文件为例,其用的方法是从IAT表中导入函数,直接运行会显示缺dll

这里使用脚本获取所有的导出函数

得到a1.c的源文件,可以看到已经将导出函数声明到了源文件里面

然后将shellcode填充到相应位置

再使用gcc编译成dll

双击即可完成IAT类型的dll劫持

网安星星
关注
HooKIAT_dll
07-03
"HooKIAT_dll"这个项目涉及到了一种常见的技术,即钩子(Hook)和IAT(Import Address Table)的修改,这是Windows应用程序核心编程的重要部分。本文将详细讲解这两个概念以及它们在实际应用中的工作原理。 首先,...
通过修改DLL文件的IAT表来实现的hook开发包源码
06-17
本开发包源码的核心就是利用了这一技术,特别是通过修改DLL(动态链接库)文件的IAT(Import Address Table)表来实现Hook。下面我们将详细探讨这些关键概念及其相关知识点。 首先,IAT(Import Address Table)是...
系统本身的dll之间也有一大堆iat hook?
爱杀之爪的矩阵
08-23 630
<br /><br /> <br />kernel32.dll里面好多的函数其实都是直接转向ntdll.dll里面的<br />这样导致假如一个程序里面使用HeapFree这个函数了,然后在IAT表中这个函数对应的地址并不是在kernel.32中,<br />而是在ntdll.dll 里面的RtlFreeHeap这个函数<br /> <br />没啥意思
Dll注入:修改PE文件 IAT注入
a815064247的博客
04-03 1277
PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。步骤:1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA填充新节PIMAGE_SECTION_HEADER,修改IMAGE_NT_HEADERS,将新节添加到文件尾部 ...
[dll注入实现IAT勾取] 计算器显示中文
diheqiu3577的博客
09-10 872
勾取dll源码详解: 首先在创建时候来保存原始IAT地址到全局变量,然后通过Hook_iat函数来进行iat函数的勾取 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) { switch( fdwReason ) { case D...
DLL劫持IAT类型(Loadlibrary)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-28 364
标志相类似,因为系统只是将DLL映射到进程的地址空间中,就像它是数据文件一样。系统并不花费额外的时间来准备执行文件中的任何代码。: 这个标志用于告诉系统将DLL映射到调用进程的地址空间中,但是不调用DllMain并且不加载依赖Dll(只映射自己本身)。: 从%windows%\system32加载Dll和其依赖项。: 应用程序安装路径搜索Dll和其依赖项。设置的路径(保护Dll自己和依赖Dll)。跟到0环可以发现,在转换之后可以得到路径。,也就是说加载dll首先会加载锁,再调用。: 搜索路径的使用使用。
用x32/x64dbg脱DLL壳(IAT表修复和重定位表修复)
qq_41866334的博客
05-06 5279
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
c/c++成长之捷径
明月松间照,清泉石上流!
10-15 7153
c++成长之路不再迷茫!           不知不觉中进入计算机行业已有多个年头了,回首往事依然历历在目。今天我把我这段时间收集的书籍资料以及实例源码帖出来(部分资料太大了放不上去,理解下),与大家一起分享,我想其中的一些资料对大家会有帮助,并且我希望这些资料以及实例源码能对大家有一定的提升作用。帮助初学者快速进入VC++并且能融会贯通,那么我的目的也就达到了。 首先推荐的视频教
通过修改DLL文件的IAT表(函数导入表)来实现api hook的源码
03-28
本源码包提供了一种通过修改DLL文件的IAT(Import Address Table,函数导入表)来实现API Hook的方法。下面将详细解释相关知识点。 1. API Hook:API Hook允许开发者拦截并替换特定的系统API调用,这样当其他程序...
hooks:执行IAT挂钩的DLL
05-08
执行IAT挂钩的DLLDLL加载到任何进程地址空间后,创建该进程的主可执行文件将对其“导入地址表”进行修补,以执行DLL源代码中指定的挂钩。 该存储库提供了一个模板项目来拦截函数调用。 实际的IAT挂钩代码已经在...
Hook IAT hookdll资源表
11-21
【标题】:Hook IAT(钩子导入地址表)与hookdll资源表 【描述】:在Windows操作系统中,Hook IAT(导入地址表)是一种常见的API钩子技术,用于拦截和修改特定API函数的调用行为。hookdll资源表通常包含关于哪些API...
[DLL 劫持] 修改 IAT ,让程序启动时加载自己的 DLL
LYSM
11-27 992
请转到以下链接食用 ???? ????:https://www.cnblogs.com/LyShark/p/13697577.html
IAT表详解
cay22的专栏
02-05 7954
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT表详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
IEC104规约的秘密之九----链路层和应用层
XZHOUMIN的博客
10-10 175
这个和OSI7层模型是类似的,每层只管和对方通信,下层就将上一层的报文增加一个信封,即报文头和报文尾,104这里只加了报文头的6个字节。当然,某些报文看起来是一问一答,比如U帧测试帧,但中间是可以随时插入其他帧的。链路层进行通讯和应用层通讯是异步的,就是应用层没有报文时,链路层会进行通讯维护链路层。应用有报文时,交给链路层,链路层放在发送队列,按优先级进行发送。我们看到报文都是68打头的,因为应用层报文也要交给链路层发送,链路层增加了开头的6个字节再进行发送。应用层报文就是I帧,其中包含链路层控制信息。
[Linux#63][TCP] 常见标志位 | 为什么是三次握手,四次挥手?
最新发布
2301_80171004的博客
10-10 463
本文介绍了 TCP 协议中 6 个标志位的作用、三次握手和四次挥手的具体过程,以及 TIME_WAIT 状态的处理方法
Macbook ToDesk 无法连接网络
Primer5
10-04 320
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
网络风暴产生原因、危害、预防和解决方法
luotuo28的博客
10-09 237
网络风暴是指由于某种原因引发的网络中数据流量急剧增加,导致网络性能严重下降甚至瘫痪的现象。
socket编程(java)
qq_68883928的博客
10-10 228
​ Socket(套接字)是计算机网络编程中用于实现网络通信的一种机制。它提供了一种编程接口,允许应用程序通过网络进行数据传输,实现不同主机之间的通信。​ Socket可以看作是一种抽象的概念,用于描述网络通信的端点。它包含了通信所需的各种参数和状态信息,以便应用程序能够通过它进行数据的发送和接收。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值