打造DLL内存加载引擎学习笔记

最新推荐文章于 2024-05-28 10:57:11 发布
最新推荐文章于 2024-05-28 10:57:11 发布
阅读量2k 收藏 2
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ProgrammingRing/article/details/16121059
版权

原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题


首先看下我们内存加载引擎的流程。

  1. 申请一段大小为dll映射内存后的映像大小的内存空间。

  2. 移动各个区段的数据到申请的内存。

  2. 修复引入表结构的地址表。

  4. 通过重定位结构修复需要重定位的地址。

  5. 调用DllMain入口点

流程解析:

  1. pe结构中nt header结构当中的ImageSize存放的是我们整个文件映射到内存后的映像大小,这个大小是经过对齐的, 读取这个成员值,来申请内存空间,内存空间的属性为“可读可写可执行”,VirtualAlloc来申请。
  2. 读取各个节表结构的各区段的物理偏移和物理大小,然后移动各区段数据到节表结构对应的的内存空间中(注意:实际上就是将节表结构的VirtualAddress + 申请的内存空间地址),移动的大小则为我们物理大小.
  3. 修复导入表结构的地址表。其实就是修复导入表
最低0.47元/天 解锁文章
ProgrammingRing
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dll内存加载
11-18
DLL内存加载是程序运行时动态链接到DLL文件的过程,这一过程对于理解和优化应用程序性能至关重要。 首先,我们需要理解DLL加载机制。在Windows中,当一个程序启动时,操作系统会根据程序的配置信息寻找并加载必要...
易语言内存DLL加载器模块
08-16
内存DLL加载器易语言模块源码 系统结构:eLoader_SetArray,eLoader_LoadLibrary,eLoader_FreeLibrary,eLoader_GetProcAddress,eLoader_GetEntryPoint,eLoader_IsModule,PE_初始化内存模块,PE_加载内存模块,PE_释放...
内存加载DLL
wr960204(武稀松)的专栏
02-29 1万+
有个需求是把一个DLL作为数据打包到EXE中,运行的时候动态加载.但要求不是释放出来生成DLL文件加载.花了一天时间做出来.效果还可以.不过由于是直接分配内存加载DLL的.有一些小缺陷.例如遍历进程中加载的模块的时候是找不到这个DLL的.GetModuleXXXX之类的API也就不能用了.当然也可以Hook这些函数做处理.不过便利不到这个模块也未必不是一个优点.例如写木马黑客之类的代码的时
内存加载DLL
天地无用的专栏
03-12 3170
程序使用动态库DLL一般分为隐式加载和显式加载两种,分别对应两种链接情况。本文主要讨论显式加载的技术问题。我们知道,要显式加载一个DLL,并取得其中导出的函数地址一般是通过如下步骤:(1) 用LoadLibrary加载dll文件,获得该dll的模块句柄;(2) 定义一个函数指针类型,并声明一个变量;(3) 用GetProcAddress取得该dll中目标函数的地址,赋值给函数指针变量;(4) 调用
如何从内存加载DLL
最新发布
2401_84466224的博客
05-28 1028
文件格式通过在基本重定位表中存储有关所有这些引用的信息来帮助实现此目的,这些信息可在OptionalHeader中的DataDirectory的目录条目5中找到。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。相对于已分配内存块的基址的每个节的目标地址存储在IMAGE_SECTION_HEADER结构的VirtualAddress属性中。PE 头包含有关可执行文件内不同部分的信息,这些信息用于存储代码和数据或定义从其他库导入或此库提供的导出。
【C++】DLL文件加载的两种方式
weixin_44984705的博客
09-22 2607
关于C++加载DLL文件的方式
c++ 在内存加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)
LYSM
06-24 4799
背景 在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存中直接加载到自己的内存中执行,不需要通过API函数去操作,以此躲过一些杀软的检测。 程序实现原理 首先,在EXE文件中,根据PE结构格式获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请一块可读、可写、可执行的内存,那么这块内存的首地址就是EXE程序的加载基址 然后,根据EXE中的PE结构格式获取其映像对齐大小Section
内存加载DLL (修正版)
123123121
07-09 2319
内存加载DLL (修正版)2008-06-17 19:09 转载地址: http://www.freshbug.com/archives/39 ======================================================
内存加载DLL运行
11-16
内存加载DLL(Dynamic Link Library)运行是一种编程技术,主要用于在程序运行时动态地将DLL文件加载内存中,而不是在程序启动时静态链接。这种方式有多种应用场景,例如节省资源、实现插件系统、代码更新等。DLL...
内存加载DLL/EXE
r250414958的博客
02-28 1548
项目地址:https://github.com/fancycode/MemoryModule 可以从内存中直接加载运行DLL/EXE,别人的项目已经足够优秀,无需再重复造轮子,不过这种加载方式会被很多杀软拦截,怎么改造这个项目各位可以发挥自己的想象力了。 ...
内存加载dll
10-08
内存资源中加载dll 不需释放资源文件
防游戏检测之易语言DLL内存注入技术
热门推荐
hzw320的博客
02-23 2万+
DLL注入,除了线程注入,消息钩子注入,输入法注入外,还有一种就是内存注入 那么什么是内存注入呢? 内存注入就是指内存加载并且执行DLL文件,这样的注入方式好处有以下几点: 1.不需要把DLL文件暴露在出来(防止别人拿着你的DLL文件改装成自己的程序或者破解) 内存DLL不需要写出到硬盘上即可使用.只要用易语言编译出来DLL后,加入到图片资源中,即可直接在内存用运行使用. 2.安全性高,注入到对...
内存加载DLL Delphi版(转)
weixin_30832351的博客
04-18 235
源:从内存加载DLL DELPHI版 原文 : http://www.2ccc.com/article.asp?articleid=5784 MemLibrary.pas //从内存加载DLL DELPHI版 unit MemLibrary; interface uses Windows; function memLoadLibrary(pLib: Po...
Dll加载内存
yan_star的博客
03-13 1653
MmLoadDll.cpp #include "stdafx.h" #include <windows.h> #include "MmLoadDll.h" void ShowError(char *lpszText) { char szErr[MAX_PATH] = { 0 }; sprintf(szErr, "%s Error [%d]\n", lpszText, G...
获取Kernel32基地址的几种方法-相关结构
wowolook的专栏
04-01 4609
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
DLL内存映像共享数据
crkres9527
07-06 402
unit UnitDll; interface uses Windows; const BUFFER_SIZE = 16 * 1024; const HOOK_MEM_FILENAME = 'MEM_FILE'; const HOOK_MUTEX_NAME = 'MUTEX_NAME'; type TShared = record Keys: array[0
C# 实现从内存加载DLL(支持加了壳的DLL)
记事本
09-08 6161
  很早的时候用VB6.0写过一次,今天找出来做成C# 的 完整源码下载地址 https://download.csdn.net/download/vblegend_2013/10653851  从内存加载DLL 步骤 1.加载DLLByte数组并校验数据有效性,通过校验 DOSHEADER、NTHEADER、SECTION_HEADER 三个位置实现验证 2.计算Dll加载内存后所...
delphi 内存加载dll
07-14
内存加载 DLL 意味着将 DLL 文件中的程序代码和数据加载内存中,并通过操作内存中的数据来调用 DLL 中的函数和方法。 在 Delphi 中,可以使用 TMemoryStream 类来实现内存加载 DLL。以下是一个简单的例子: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值