注入技术系列:一个批量验证DLL劫持的工具

最新推荐文章于 2024-05-22 23:34:55 发布
最新推荐文章于 2024-05-22 23:34:55 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 原创 Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angelxf/article/details/102892808
版权

作者:anhkgg
日期:2019年11月3日

很多时候,可能会对某个软件进行DLL劫持。

而这个软件是否存在DLL劫持漏洞,需要去分析验证。

比如通过IDA查看导入的DLL,或者LoadLibrary的DLL,然后慢慢排除某些KnownDlls,排除某些绝对路径加载的DLL…

或者通过Windbg分析。

虽然技术难度不高,但是挺费事的。

本篇文章分享我找DLL劫持的方法,不一定是最佳,不过很方便。

1

首先,通过windbg启动软件,设置(默认开启的):

Debug->Event Filters->Load module,勾选Output

然后go运行。这样我们可以看到运行后,软件导入表导入的DLL,以及LoadLibrary加载的DLL的所有文件,如下所示:

ModLoad: 75090000 750cb000   C:\Windows\system32\rsaenh.dll
ModLoad: 757c0000 757cc000   C:\Windows\system32\CRYPTBASE.dll
ModLoad: 778b0000 778da000   C:\Windows\system32\imagehlp.dll
ModLoad: 77860000 778a5000   C:\Windows\system32\WLDAP32.dll

2

写一个测试的DLL,只用下面的代码:

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    char path[MAX_PATH] = { 0 };
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        OutputDebugStringA(path);
        OutputDebugStringA("success!");
        MessageBoxA(NULL, "success!", "Tips", MB_OK);
        ExitProcess(0);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

然后讲DLL改名成劫持目标DLL,放到软件目录下,运行验证即可。

如果出现提示success则表示该目标DLL劫持成功。

3

如果DLL太多了,一一验证排除肯定很麻烦,所以程序员又要写代码了。

写一个自动批量验证的工具,基本思路如下:

  • 把windbg拿到的dll列表保存下来
  • 准备好测试DLL,DLL中加入写log功能
  • 分析dll列表,一一把测试DLL拷贝为目标dll,启动软件
  • 然后把log提取出来,可以看到成功劫持的dll

在这里插入图片描述

工具界面如上,一键验证所有DLL,分分钟拿到结果。

工具会分享到https://github.com/anhkgg/anhkgg-tools下,欢迎使用,如有bug,请联系我。

QQ交流群:753894145

如果觉得内容还不错,欢迎关注公众号:汉客儿

anhkgg
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL劫持漏洞自动化识别工具Rattler测试
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-28 5204
0x00 前言 最近,来自SensePost的Chris Le Roy开源了一款工具:Rattler,可用来自动识别DLL是否存在预加载漏洞(也可以理解为DLL劫持漏洞,文中该名词均采用DLL劫持漏洞)。虽然DLL劫持漏洞已不再是新技术,可追溯到2010年,但是我对自动化很是感兴趣,于是对此做了进一步研究。 本文将理清DLL劫持漏洞原理,实例分析,测试自动化工具Rattler,分享心得,并测试...
易语言DLL注入工具
07-21
易语言DLL注入工具源码,DLL注入工具,释放进程内存,注入DLL,卸载DLL,取DLL函数地址,执行DLL函数,是否已注入,重载变量,申请内存_,释放内存_,写到内存_,读取内存_,写入内存数据_,调用子程序_,提升进程权限_,打开进程_,...
探索Windows DLL劫持:一个安全研究者的必备工具
gitblog_00017的博客
04-20 351
探索Windows DLL劫持:一个安全研究者的必备工具 项目地址:https://gitcode.com/wietze/windows-dll-hijacking 该项目是由开发者Wietze创建的,它是一个深入研究和理解Windows动态链接库(DLL劫持技术平台。GitCode仓库提供了完整的代码示例和说明,旨在帮助安全研究人员、软件开发者和对系统安全感兴趣的用户理解和预防这种攻击方式。...
易了千名注入
01-22
易了千名代码注入器易了千名修正版
[自制软件] DLL自动劫持生成器
最新发布
weixin_65409651的博客
05-22 819
DLL自动注入的原理我前面博文里简单说过.就是程序调用DLL的时候如果没有指定DLL目录,那么会优先从程序同目录搜索,如果同目录没有那么就从系统目录里面搜索.3, 将AudioSes.dll拖动到我的[DLL自动劫持生成器]软件,会自动识别导出表. 点击 [生成DLL]按钮,选择保存位置.1,还是用空洞骑士为例子. 游戏目录有个UnityPlayer.dll ,我将演示替换这个DLL文件实现注入.而我这个是直接生成DLL文件,直接编译好了.而且我的软件支持导出64位DLL.
利用Dll实现通用密码验证框 (转)
circularr9834的博客
08-12 122
利用Dll实现通用密码验证框 (转)[@more@]      作者:夏青虫----在我们编制Delphi应用程序,常常需要提供一个密码验证框,对应用程序的使用者进行身份核对。如果能有一个通用的密码验证框,便能够为我们的工作节...
调用DLL的方法(验证通过)
§为艺术而技术§
08-10 1653
发信人: AppleII (干涩的年华), 信区: Programming标  题: 调用DLL的方法(验证通过)发信站: 日月光华 (2004年08月04日13:22:49 星期三), 站内信件网上的很多代码实际验证都不一定能过。下面的这个文章中,如何调用那部分我是在VC6上验证过的,所以贴上来,帮助广大和我一样的菜鸟。http://www.ipx.cn/html/c/20040304/
DLL劫持
Armandhe的博客
07-21 1539
dll劫持牛逼啊,权限维持好方法,可以劫持一些开机自弃的程序的dll文件,然后只要对方主机上线那么他就成了你的肉鸡
DLL注入工具.rar
04-04
DLL注入是一种技术,常用于软件调试、性能监测、恶意软件活动中,通过将动态链接库(DLL)加载到另一个正在运行的进程内存空间中,实现对目标进程的功能扩展或控制。这个压缩包“DLL注入工具.rar”包含的是易语言...
DLL-Inj3cti0n:另一个dll注入工具
06-29
另一个dll注入工具。 概述 这个工具DLL的不同注入/执行的实现。 适用于: 方法 视窗 XP Windows 7 32 位 Windows 7 64 位 创建远程线程 + + —— 注入shellcode + + —— 队列用户APC() + + —— ...
dll注入工具
12-02
1. 创建远程线程:这是最常见的注入方法,通过调用Windows API函数`CreateRemoteThread`在目标进程中创建一个新的线程,然后让这个线程执行DLL的入口点函数`DllMain`。 2. API Hooking:另一种方法是替换目标进程中...
用户登录权限网络验证插件[易游v1.0.4]
11-28
易游网络验证插件是为软件作者设计的一套完整免费的用户登录权限网络验证体系。可以为开发的软件增加收费授权的功能,让作者开发的软件可以进行登陆验证、销售、充值等操作,并且提供防破解验证功能,可以更好的保护您的作品。同时增加了一系列代理管理机制,让您更好的管理代理售卡、换卡、结算等操作。支持的程序语言有:C#、c++、VB、VC、易语言、按键精灵等能调用dll的相关开发语言。 使用易游网络验证插件的特点: 1、完全免费使用 使用易游网络验证服务,完全免费使用:用户登录、代理管理、卡密管理等基本功能,无需担心收费功能影响软件使用! 2、节省软件成本 使用易游网络验证服务,不需要购置服务器,登录易游后台配置自己的应用程序相关设置,客户端直接调用COM组件就能实现网络验证! 3、缩短开发周期 不需要过多的繁琐操作,调用易游网络验证COM组件或者webservice就可以实现验证机制,无需再书写验证用户登录,用户管理,卡密管理等繁琐的代码,开发软件只要专注程序代码即可! 4、安全防破解 将重要数据存放在服务器中,只有当客户登陆成功后才会返回相应的重要数据,就算被破解的,没有这些重要数据,破解出来的也是无法使用!同时,使用易游提供的COM组件,内置安全的传输加密机制,让软件重要数据在传输过程中更安全! 5、代理管理更简单 使用易游网络验证服务后台管理,可以对各个程序的每个代理单独进行管理。同时增加了一系列代理管理机制,让您跟更好的管理代理售卡、换卡、结算等操作!
易语言软件一键加验证(无视加壳)
03-19
软件源码仅供大家学习参考,并不保证有实际编译效果,具体内容自行测试和修改。
DLL注入测试工具
06-03
给定一个进程名称,获得当前进程系统中有该进程的实例(以PID列表形式),并给定一组DLL名称,检测DLL是否成功注入目标进程中。
dll劫持工具.zip
10-05
标题“dll劫持工具.zip”暗示这是一个关于检测和分析DLL劫持现象的工具包。通常,这类工具可以帮助安全研究人员或系统管理员识别潜在的DLL劫持风险,确保系统的安全性。 描述中的“dll劫持验证工具”表明,压缩包内...
Windows Hook(1)加载DLL
123
09-07 260
DLL代码 #include <Windows.h> BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH:
DLL注入的术与道:分析攻击手法与检测规则
hackzkaq的博客
11-20 535
(5)调用RtlCreateUserThread远程进程中创建一个新线程 (也可使NtCreateThreadEx或CreateRemoteThread),将LoadLibrary的地址传递给此API(它需要磁盘上有一个可以检测到的恶意DLL),将该线程的执行地址设置为 $LoadLibraryAddr(kernel32.dll 中的 LoadLibraryA 函数),以便加载远程进程中的 DLL。因此,当我们运行前面的 IEX 命令时,它会从提供的 FQDN 下载脚本并将其直接注入到内存中。
计算机中丢失meg.dll,DLL劫持学习及复现
weixin_36140683的博客
07-25 532
0x01 dll简介在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library),即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数(DLLMain),系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数:1.进程装载DLL。2....
检测是否有dll注入
125096
05-05 5364
#include #include #include #include #include using namespace std; typedef basic_string, allocator > tstring; int ProcessModule(DWORD); int CheckProcessModule(DWORD pid); BOOL IsModuleValid(tstr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值