使用AheadLib生成DLL劫持代码

最新推荐文章于 2024-07-12 14:35:33 发布
最新推荐文章于 2024-07-12 14:35:33 发布
阅读量4.6k 收藏 10
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/108335710
版权
本文介绍了DLL劫持的概念,利用 AheadLib 工具伪造DLL以实现程序加载时调用自定义功能。通过填写目标DLL路径生成CPP代码,创建DLL项目并编译,设置为多字节字符集,关闭预编译选项。在DllMain中添加自定义功能。针对32位程序,需注意判断进程类型并获取正确的目录,以避免HOOK失败。
摘要由CSDN通过智能技术生成

程序加载DLL会有一个优先级顺序,其中,最先加载的是同一目录下的DLL,DLL劫持的原理是在程序的同目录下放一个自己写的DLL,让程序将我们伪造的DLL加载进去,然后在我们的DLL里调用真正DLL的函数。

借助 AheadLib 工具我们可以很方便的伪造DLL。比如,我们想劫持user32.dll,只需将user32.dll的路径填入,然后生成CPP代码。

在这里插入图片描述
看一下生成的代码,由于user32.dll里面函数很多,有1213个,所以代码非常长。
在这里插入图片描述

接下来,创建一个DLL项目,将代码放进去编译,设置项目编码为多字节字符集,关闭预编译选项,即生成了一个伪造的user32.dll。

在这里插入图片描述
我们可以在DllMain里添加想要的功能。

在这里插入图片描述
注意,如果我们的程序是32位,则要拿SysWOW64下

最低0.47元/天 解锁文章
hambaga
关注
Dll劫持
SHELLCODE_8BIT的博客
12-01 688
dll劫持_. iDea.的博客-CSDN博客_dll劫持
DLL劫持实验 - 使用AheadLib工具
Acnorth的博客
03-11 4589
$ DLL劫持实验 - 使用AheadLib工具 参考文档: 实验过程:https://www.write-bug.com/article/1883.html 如何判断程序是32位还是64位:https://blog.csdn.net/qq_23308823/article/details/54898119 使用VS2010编译64位DLL:https://blog.csdn.net/l52771...
AheadLib-x86-x64:hijack dll代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
winspool劫持分析详细讲解
最新发布
weixin_65409651的博客
07-12 370
易语言中的数据类型定义相当于Python中的类定义。
c语言劫持dll写法,[原创]DLL劫持生成器 源码开放(纯WINDOWS SDK)+ 实例分析
weixin_35856883的博客
05-21 1596
本菜最近学习了什么DLL注入啊,hook啊(r3)的相关技术,觉得很好玩,于是深入发现还有DLL劫持这种东西觉得挺好玩的,加上最近看到各种木马分析报告中都还有发现有利用白加黑的现象。于是自己想找几个来玩玩,但是一个一个手动测试麻烦啊,于是想写个工具来测试目标是否存在DLL劫持漏洞的可能,于是就产生了写个工具的想法,上网一看,原来十年前都有大神写出来了,不过感觉有点麻烦,好多选项不知道干嘛的,加上本...
易语言DLL劫持生成 最新劫持技术-易语言
06-11
DLL劫持算是一个很古老的技术了,早在XP时代就有臭名昭著的lpk .dll劫持,病毒通过伪装系统 lpk .dll达到注入目标进程,为什么会被劫持呢?因为在程序执行的时候会在当前目录搜索 lpk .dll文件,如果文件存在就会被加载到进程地址空间。 DLL劫持原理:   DLL劫持技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。  由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL劫持(hijack)了。  伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL代码,处理完毕后,再调用原DLL此函数。  这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。  一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll ,应引起注意。 思路: 我们拿winmm.dll劫持做演示,通常的劫持技术是导出和winmm.dll同样的函数并提供相同的参数,当程序运行后加载winmm.dll会事先在当前目录查找,此时如果你编写的伪装winmm.dll在当前目录就会被加载到进程空间,如果程序还调用了里面的函数就会调用你编写的函数你必须保证可以正常运行你得调回原winmm.dll中的函数。 这样来回调用大大降低了效率,而且易语言 导出的函数的特殊性大大降低了效率甚至部分程序还不能正常的回调。 那有没有办法解决这个问题呢? 于是我想到了能不能调用函数的时候直接跳转到原函数呢 这样大大降低了劫持影响的效率  比如 程序a.exe调用 a.dll 里面的 test函数 劫持后 程序a.exe调用a.dll里面的test的时候 会先调用我们劫持dll里面的test然后跳转到a.dll里面的test 这样就相当于调用一个函数变成了调用两个函数 我们完全可以这样 调用我们的test的时候 直接跳转到原函数 而且我们的导出函数不需要提供任何参数跟返回值 这简直太棒了!! DLL公开的子程序就是只用作导出函数请不要加任何代码没有意义。 例程: 直接上winmm.dll劫持源码 使用黑月编译 测试劫持:易语言核心支持库(krnln.fne) 微信 QQ Steam QQ飞车 CF 英雄联盟 一切正常。测试只是为了得到劫持效果仅供参考,请勿用于非法用途。 DLL劫持生成工具 由于时间关系先到这里,后续再更。。。 如果想自己回调某个函数拦截修改功能,请把pszProcName数组变量对应的成员名称给删除 然后自己修改对应的导出函数 提供原函数同样的参数跟返回值
AheadLib 2.2.150
weixin_34337381的博客
01-15 400
  一、简介   AheadLib 是用来生成一个特洛伊DLL的工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立...
基于AheadLib工具进行DLL劫持
墨鱼菜鸡
06-24 172
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术。DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,...
AheadLib DLL劫持
06-05
掌握DLL劫持使用 AheadLib 开发DLL的知识,对于提升软件安全意识和进行系统编程都是非常重要的。在实际开发过程中,要时刻警惕潜在的安全风险,并采取适当的措施来保护用户的系统不被恶意DLL劫持
Python-这是AheadLib和AddExport之外的另一种生成DLL劫持C源代码的辅助工具
08-10
这是AheadLib和AddExport之外的另一种生成DLL劫持C源代码的辅助工具”表明我们讨论的是一个Python编写的程序,它用于生成DLL劫持相关的C源代码,而DLL劫持是一种技术,通常在逆向工程、软件调试或恶意软件分析中...
DLL劫持C++源代码创建器
03-21
本工具自动创建用于进行DLL劫持的C++源代码。选择你正在运行的应用程序,选择应用程序加载的DLL,本工具为你创建一个用户劫持DLL的源代码代码中有详细的指导,按照指导去配置你的VS,马上编译一个用来劫持DLL。马上下载下来试试吧。如何创建这个工具,请查看软件的帮助。
AheadLib代码
03-22
AheadLib代码,分析DLL的必备工具,也可用于劫持生成
hijackdll_helper:除AheadLib和AddExport外,这是另一个有助于为dll劫持生成c文件的工具。这是AheadLib和AddExport之外的,另一种生成DLL劫持C源代码的辅助工具
03-23
介绍 除AheadLib和AddExport外,这是另一个有助于为dll劫持生成c文件的工具。 这是AheadLib和AddExport之外的,另一种生成DLL劫持C源代码的辅助工具。 它完全基于MSVC链接器的功能转发功能。 它完全使用MSVC链接器的DLL函数重定向特性。 它使用python编码,以便更轻松地更改c文件模板。 使用python是为了便于修改生成代码。 C文件有2个技巧:1,自己实现一些功能; 2。 2,通过dll项加载额外的代码。 操作点可以有2处:1,自己实现要修改的函数; 2,从dll入口(插入)加载额外的代码。 主页: : AheadLib: ://github.com/Yonsm/AheadLib,https: AddExport: ://bbs.pediy.com/thread-154269.htm 依存关系 python3 pefi
AheadLib用于DLL却持
09-12
一个很好的用于DLL却持技术的工具.支持多线程
AheadLib_lucky_789修改版
07-03
导出函数表
【C/C++】劫持技术
CYRUS STUDIO
02-28 7970
劫持 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。 函数是放在内存中的代码区,所以劫持代码区密切相关。 实现劫持需要使用detours。 detours detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。 detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系
【转】Yonsm的AheadLib 2.2.150
ccrack的专栏
06-20 991
一、简介   AheadLib 是用来生成一个特洛伊DLL的工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立一个 
简单实现程序DLL劫持
XunanSec的博客
05-24 2108
0x00 前言 程序启动会调用固定的.dll文件,通过特定的手法将木马代码和进程注入到可被劫持DLL文件中,当程序正常启动,我们代码也会秘密执行。 0x01 利用过程 用到的工具 1、Aheadlib 2、Visual Studio 用美图看看Pdf来测试,朋友们可以拿这个练手,毕竟只有一个.dll文件,小傻瓜都知道是调用的这个dll来启动程序的 找到易劫持dll文件,打开Aheadlib,引入 注意这里设置的原始dll文件名,记住了最后正常dll名字要修改成这个 点击生成
用AheadLib进行简单的DLL注入
I have a dream
10-26 5765
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先编写要注入的DLL文件:dllTest_dll.dll 只进行两个数的简单相加 #include "dllTest_dll.h" int add(int x,int y) { return x+y; } DLL的头文件dllT
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值