DLL劫持实验 - 使用AheadLib工具

最新推荐文章于 2024-05-28 10:41:58 发布
最新推荐文章于 2024-05-28 10:41:58 发布
阅读量4.5k 收藏 9
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Acnorth/article/details/104806258
版权

$ DLL劫持实验 - 使用AheadLib工具

参考文档:
实验过程:https://www.write-bug.com/article/1883.html
如何判断程序是32位还是64位:https://blog.csdn.net/qq_23308823/article/details/54898119
使用VS2010编译64位DLL:https://blog.csdn.net/l527719041/article/details/77434652/
工具来源:
AheadLib:https://bbs.pediy.com/thread-224408.htm
PEview:https://www.onlinedown.net/soft/977166.htm
Process Monitor:http://www.pc6.com/softview/SoftView_15853.html

一、背景

​ 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。
​ DLL加载过程:

  1. 程序所在目录
  2. 程序加载目录
  3. 系统目录即SYSTEM32目录
  4. 16位系统目录即SYSTEM目
最低0.47元/天 解锁文章
0ne_B1t
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用AheadLib生成DLL劫持代码
hambaga的博客
09-01 4502
程序加载DLL会有一个优先级顺序,其中,最先加载的是同一目录下的DLLDLL劫持的原理是在程序的同目录下放一个自己写的DLL,让程序将我们伪造的DLL加载进去,然后在我们的DLL里调用真正DLL的函数。 借助 AheadLib 工具我们可以很方便的伪造DLL。比如,我们想劫持user32.dll,只需将user32.dll的路径填入,然后生成CPP代码。 看一下生成的代码,由于user32.dll里面函数很多,有1213个,所以代码非常长。 接下来,创建一个DLL项目,将代码放进去编译,设置项目编码为
AheadLib 2.2.150
weixin_34337381的博客
01-15 381
  一、简介   AheadLib 是用来生成一个特洛伊DLL工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立...
应急响应入侵排查篇
最新发布
y15754的博客
05-28 426
入侵排查• 检查方法:据实际情况咨询相关服务器管理员。• 检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。• 检查方法:• b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。• a、打开注册表 ,查看管理员对应键值。• 检查方法:• a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件
基于AheadLib工具进行DLL劫持
LYSM
06-24 2836
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术。DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形
localStorage
weixin_45068929的博客
12-04 339
// 存储 export const setLocalStorage = (key, data) => { window.localStorage.setItem(key, JSON.stringify(data)) } // 获取 export const getLocalStorage = (key) => { return JSON.parse(window.localStorage.getItem(key)) } // 删除 export const removeLo
AheadLib-x86-x64:hijack dll源代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
hijackdll_helper:除AheadLib和AddExport外,这是另一个有助于为dll劫持生成c文件的工具。这是AheadLib和AddExport之外的,另一种生成DLL劫持C源代码的辅助工具
03-23
介绍 除AheadLib和AddExport外,这是另一个有助于为dll劫持生成c文件的工具。 这是AheadLib和AddExport之外的,另一种生成DLL劫持C源代码的辅助工具。 它完全基于MSVC链接器的功能转发功能。 它完全使用MSVC链接器的DLL函数重定向特性。 它使用python编码,以便更轻松地更改c文件模板。 使用python是为了便于修改生成的代码。 C文件有2个技巧:1,自己实现一些功能; 2。 2,通过dll项加载额外的代码。 操作点可以有2处:1,自己实现要修改的函数; 2,从dll入口(插入)加载额外的代码。 主页: : AheadLib: ://github.com/Yonsm/AheadLib,https: AddExport: ://bbs.pediy.com/thread-154269.htm 依存关系 python3 pefi
AheadLib.exe,DLL劫持工具
12-28
AheadLib.exe DLL导出表,DLL劫持工具
AheadLib DLL劫持
06-05
掌握DLL劫持使用 AheadLib 开发DLL的知识,对于提升软件安全意识和进行系统编程都是非常重要的。在实际开发过程中,要时刻警惕潜在的安全风险,并采取适当的措施来保护用户的系统不被恶意DLL劫持
Python-这是AheadLib和AddExport之外的另一种生成DLL劫持C源代码的辅助工具
08-10
这是AheadLib和AddExport之外的另一种生成DLL劫持C源代码的辅助工具”表明我们讨论的是一个Python编写的程序,它用于生成与DLL劫持相关的C源代码,而DLL劫持是一种技术,通常在逆向工程、软件调试或恶意软件分析中...
用AheadLib进行简单的DLL注入
I have a dream
10-26 5695
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先编写要注入的DLL文件:dllTest_dll.dll 只进行两个数的简单相加 #include "dllTest_dll.h" int add(int x,int y) { return x+y; } DLL的头文件dllT
AheadLib用于DLL却持
09-12
一个很好的用于DLL却持技术的工具.支持多线程
AheadLib 源代码
03-22
AheadLib 源代码,分析DLL的必备工具,也可用于劫持生成。
AheadLib源代码
08-11
一、简介   AheadLib 是用来生成一个特洛伊DLL工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程,把这个 CPP 文件加入到项目中。   3.使用 Release 方式编译,生成的 DLL 将和原来的 DLL 具有一模一样的导出函数,并且能顺利把这些函数转发到原来的函数中。   4.AheadLib 还可以生成 Hook 代码,用于截取当前进程的所有消息,这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。 三、备注   1.如果导出函数过多,在 Visual Studio 6.0 中,如果出现编译错误,请在项目属性关闭与编译头功能。   2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话,生成的函数声明将会还原成原代码级别(可能需要修改才能编译,比如导出C++类的情况)。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。   3.如果是 NONAME 或者 C _CDECL 方式导出(比如 DEF 导出,大多数Windows DLL都是这种情况,比如WS2_32等等),则使用#pragma comment(linker, "/EXPORT:...)导出,且指定导出序号。   4.如果系统中没有 DbgHelp.dll,将无法识别 C++ 模式的导出。 主页:http://Yonsm.reg365.com 邮件:Yonsm@163.com 源码:如果需要,请访问作者主页
反编译DLL文件为.CPP工具
12-19
一、简介   AheadLib 是用来生成一个特洛伊DLL工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程,把这个 CPP 文件加入到项目中。   3.使用 Release 方式编译,生成的 DLL 将和原来的 DLL 具有一模一样的导出函数,并且能顺利把这些函数转发到原来的函数中。   4.AheadLib 还可以生成 Hook 代码,用于截取当前进程的所有消息,这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。 三、备注   1.如果导出函数过多,在 Visual Studio 6.0 中,如果出现编译错误,请在项目属性关闭与编译头功能。   2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话,生成的函数声明将会还原成原代码级别(可能需要修改才能编译,比如导出C++类的情况)。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。   3.如果是 NONAME 或者 C _CDECL 方式导出(比如 DEF 导出,大多数Windows DLL都是这种情况,比如WS2_32等等),则使用#pragma comment(linker, "/EXPORT:...)导出,且指定导出序号。   4.如果系统中没有 DbgHelp.dll,将无法识别 C++ 模式的导出。
AheadLib火山PC专用版以及使用教程
乐易论坛_只做原创编程培训教程_易语言教程_易语言源码_易语言视频教程_易语言论坛
05-07 107
程序加载DLL会有一个优先级顺序,其中,最先加载的是同一目录下的DLLDLL劫持的原理是在程序的同目录下放一个自己写的DLL,让程序将我们伪造的DLL加载进去,然后在我们的DLL里调用真正DLL的函数。借助 AheadLib 工具我们可以很方便的伪造DLL,而我通过优化工具以及搭配的工具,可以快速建立火山的劫持补丁项目,更加方便的编写劫持代码。AheadLib火山PC专用版以及使用教程 - 火山编程-火山编程交流网。
Windows x86/x64 动态库劫持
如人饮水冷暖自知
03-15 3129
从调用约定开始简述x64动态库劫持技术,并通过AheadLib实现对x64架构下动态库的劫持,以及如何在目标函数调用前后记录传递的参数和返回值。 原文:论Windows x64下动态库劫持技术
dll挟持神器 - AheadLib 2.2.150 转
cnmqw的专栏
08-11 392
http://www.tinpont.com/software/aheadlib.html dll挟持神器 - AheadLib 2.2.150(源码) Yonsm是一位传说中的大神,他在04年发布的DebugTrack调试字符串显示工具到现在还非常流行。 在05年的时候,他发布了AheadLib,这款在当时名噪一时的划时代软件。AheadLib主要功能是分析dll的输出函数,生成含有对应...
[源码和文档分享]基于AheadLib工具进行DLL劫持
qq_38474647的博客
12-29 322
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术。DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值