一次LoadLibrary调用失败的调试经历

最新推荐文章于 2024-06-14 17:07:35 发布
最新推荐文章于 2024-06-14 17:07:35 发布
阅读量1.3k 收藏
点赞数
分类专栏: debug 文章标签: 调试 LoadLibrary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShellBombs/article/details/52612156
版权

仅在这里记录以做备忘!

        最近几天分析APT样本,发现很多样本都是call到一个0地址导致崩溃,后面分析发现样本在LoadLibrary加载urlmon.dll失败了,导致后面获取的UrlDownloadToFile函数地址为空,然后就call到一个0地址了。可LoadLibrary为什么会失败呢,urlmon.dll是系统dll在system32目录下,按道理不会啊。进一步详细分析,发现是因为样本shellcode开始处有执行几个inc esp指令,导致esp没有以4对齐,后面调用LoadLibrary的时候,LoadLibrary会调用NtOpenSection进入内核,内核调用ProbeForRead发现用户的buffer不对齐导致失败的。

ShellBombs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++调用DLL并调试源码
04-06
C++调用DLL并调试源码
DllCallSample_动态调试_DLL动态调用实例_dllsample_
10-03
DLL动态调用是Windows API中的一个重要概念,它允许程序在运行时动态地加载和调用DLL中的函数。本实例"DllCallSample"将深入探讨如何实现DLL动态调用,并通过一个名为"callMaopao"的子文件来展示具体操作。 首先,...
LoadLibrary加载动态库失败的解决办法
爱.NET
01-28 3021
方式一 采用LoadLibraryEx 转载:http://blog.sina.com.cn/s/blog_62ad1b8101017qub.html 若DLL不在调用方的同一目录下,可以用LoadLibrary(L"DLL绝对路径")加载。但若调用的DLL内部又调用另外一个DLL,此时调用仍会失败。解决办法是用LoadLibraryEx: LoadLibraryEx("DLL绝对路径", ...
Windows中LoadLibrary加载动态库失败,详细解释(解决思路)
最新发布
m0_65635427的博客
06-14 1795
GetProcAddress 函数加载由参数 LibFileName 指定的 DLL 文件。参数 LibFileName 指定了要装载的 DLL 文件名,如果 LibFileName 没有包含一个路径,系统将按照:当前目录、Windows 目录、Windows 系统目录、包含当前任务可执行文件的目录、列在 PATH 环境变量中的目录等顺序查找文件。如果函数操作成功,将返回装载 DLL 库模块的实例句柄,否则,将返回一个错误代码,错误代码的定义如引文[1]所示。GetProcAddress 函数。
LoadLibrary加载动态库失败
weixin_34396902的博客
07-20 2162
【1】LoadLibrary加载动态库失败的可能原因以及解决方案: (1)dll动态库文件路径不对。此场景细分为以下几种情况: 1.1 文件路径的确错误。比如:本来欲加载的是A文件夹下的动态库a.dll,但是经过仔细排查原因,发现a.dll动态库竟然被拷贝到B文件夹下去了。 若真遇到这种低级错误,建议你找个没人的墙角蹲下用小拇指逆时针划圈圈去吧。。。 1.2 实参传值错误。比如:实参...
LoadLibrary失败的原因(转)
weixin_33827590的博客
06-08 453
背影:     今天终于把公司的SDK 动态链接库转为Java 可调用的JNI 格式。DLL的编译环境是VS2010,使用Debug 输出时调用正常,而用Release 输出却调用失败。这可把哥搞惨了,开始以为是编译设置问题,找了N多方法均不得解。最后只得用哥惯用的调试手段,在DLL 里加打印消息一步步确认出错位置,然后得知是DLL 里调用公司的DLL 不成功。随后就找到了下面的方法,一试得解。...
LoadLibrary失败的原因
热门推荐
friendan的专栏
10-03 1万+
今天使用LoadLibrary时,失败,于是翻了一下MSDN: LoadLibrary The LoadLibrary function maps the specified executable module into the address space of the calling process.  For additional load options, use the Lo
加载动态库失败loadLibrary返回为空)的几种解决办法
zzwfans的博客
01-19 1万+
如果遇到了以下几种问题,也许可以在本文找到解决方法: 一、版本更新后,原本正常的功能突然无法使用了; 二、VS编译的时候,弹出“xxx(win32):已加载“xx.dll”, xxx(win32):已卸载“xx.dll”” 如图所示: 三、经排查和调试,确认是LoadLibrary宏返回的动态库句柄为空导致的,并且利用GetLastError函数获取的错误代码为126; 那么你可能跟我一样,遇到了加载动态库失败的问题。 这个问题网上有很多解决办法,但有些写的不是很详细,在这里汇总一下: 1)路径问题。
如何调用dll中的函数.rar_GetProcAddress dll_LoadLibrary vc_调用DLL中的函数_调用D
07-14
示范如何使用 LoadLibrary(...) 和 GetProcAddress(....)调用dll的输出函数.
Nodejs调用Dll模块的方法
10-18
以下是一个简单的使用`node-ffi`加载和调用DLL的示例: ```javascript var ffi = require('ffi'); var path = require('path'); var libpath = path.join(__dirname, '/test.dll'); var testLib = ffi.Library...
vs2019 - LoadLibrary失败时的排查方法
谢绝留言与私信
05-12 568
在做从内存载入DLL的实验,发现从内存载入DLL失败。昨天还是成功的。昨天将工程归档了,清掉了临时文件。应该是少了啥依赖的东西。用LoadLibrary显式载入,也失败。去查msdn, WIN32API失败后,可以调用GetLastError() + FormatMessage()来显示失败信息。这时显示的信息为确实为依赖的模块,具体哪个模块,还不清楚。最后,直接隐式调用DLL接口,如果是缺哪个依赖的模块,直接有messagebox提示,一目了然。
VC下调试经过LoadLibrary加载的DLL
dijkstar的专栏
09-14 5036
1. 首先要有被调试DLL的源代码工程(假设名字为DLL工程); 2. 其次要有调用这个DLL的EXE,有没有该EXE的工程没关系,但一定要有该EXE,这里假设该exe为EXE_DLL.exe; 3. 设置DLL工程的调试环境,如下图所示: 4. 在DLL工程的源代码中设置好断点,直接F5即可。
单独运行程序载入动态库失败,调试的时候载入成功(QLibrary/LoadLibrary
草稿本
08-25 1093
实际开发中遇到一个小问题,以QLibrary、LoadLibrary 方式载入动态库,调试的时候能正常调用库,但单独运行程序就不行;其实问题不大,但是不注意就搞掉你大半天时间; 以下为使用场景: 自己封装了一个动态库名为A ,A中依赖了三方库动态库B, A库以QLibrary或者 windows 平台 的LoadLibrary方式使用,但是始终是IDE调试就能跑起来,单独运行程序就提示发现不了A dll模块 (路径是没问题的); 这种情况很大一部份原因是因数B 动态...
Qt 使用MinGW编译器调用MinGW编译生成的dll
aoxuestudy的专栏
03-18 1090
Qt调用别人写的dll,使用MinGW32/MinGW64,或者 msvc2017 64位,msvc2017 32位
MSVC vs. MinGW 之 (lib,dll,def,obj,exe) vs (a,dll,def,o,exe) 玩转攻略手记[转]
weixin_30439067的博客
11-26 911
转自:http://hi.baidu.com/kaien_space/blog/item/ae765e0aa3de501695ca6bb9.html一份粗糙的研究记录,有待补完和整理。MinGW:c -> o gcc -c a.cc -> exe gcc a.c libs.o -o a.exe (从主程序a.c,附加libs,生成a.ex...
LoadLibrary多次调用
06-08
在 Windows 平台上,如果你多次调用 LoadLibrary 函数来加载同一个 DLL 文件,Windows 操作系统会将 DLL 文件加载到内存中一次,并维护一个计数器,用于跟踪该 DLL 文件被加载的次数。每次调用 LoadLibrary 函数都会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值