【转】DLL劫持技术(内存补丁技术)

最新推荐文章于 2020-05-14 18:55:28 发布
最新推荐文章于 2020-05-14 18:55:28 发布
阅读量4.7k 收藏 4
点赞数
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccrack/article/details/32705991
版权

软件安全系列图书——《加密与解密》(第三版)

 

引用:

第18章 补丁技术20

18.1 文件补丁

18.2 内存补丁

18.2.1 跨进程内存存取机制

18.2.2 Debug API机制

18.2.3 利用调试寄存器机制

18.2.4 DLL劫持技术

18.3 SMC补丁技术

18.3.1 单层SMC补丁技术

18.3.2 多层SMC补丁技术

18.4 补丁工具

 

 

【转】DLL劫持技术(内存补丁技术) - 心雪*冰狐 - 心雪*冰狐 

18.2.4 DLL劫持技术

 

说明

我是从CoDe_Inject帮助下才了解这个DLL劫持技术(或称HOOK),利用这个制作内存补丁非常的好用。

Yonsm在几年前,写了个工具AheadLib,可以很方便地生成各类DLL头文件,见本帖2楼。

这种补丁方法,适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。

 

当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。

最低0.47元/天 解锁文章
ccrack
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言DLL劫持补丁(Version.dll)
08-04
源码介绍 《DLL劫持技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。 本插件是用易语言编写的DLL劫持补丁(Version.dll)插件大家可以测试下。
DLL劫持技术内存补丁技术
blackoto的专栏
12-22 5331
《加密与解密(第三版)》这种补丁方法,适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会
实现DLL内存补丁,DLL劫持技术
laobobo999的专栏
05-17 1501
 在windows下当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表是根据DLL名来进行查找,首先是查找当前目录下有没这文件,没有话在去查找系统目录C:\\Windows\\system32有没这文件,所以我们可以完全趁这个机会去劫持DLL,把他劫持下来后就可以
DLL补丁劫持制作
dfdhxb995397的博客
04-21 257
DLL: 由于输入表中只包含 DLL 名而没有它的路径名,因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL,如果没找到,则在Windows 系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的 DLL,提供同样的输出表,每个输出函数向真正的系统 DLL。程序调用系统 DLL 时会先调用当前目录下伪造的 DLL...
winmm劫持补丁的apihook解码常规和特征补丁-易语言
06-12
这里先发一个一般补丁工具能做到 apihook的劫持常规补丁 和 特征补丁,回头再慢慢发些寄存器补丁,硬断补丁之类的 其实仅仅是这种需求的话,一般的补丁工具都可以写出这种补丁 仅仅用到了精益模块,模块请自行从论坛下载 这里仅仅是用的GetVersion示例哦,这个他没返回毕竟简单,也是 易语言 OEP 之后第一个调用api,需要用到哪种补丁请解除注释使用,劫持补丁最好黑月编译
DLL 劫持技术内存补丁技术
11-24
补丁分文件补丁内存补丁两种。文件补丁就是修改文件本身某个数据,达到一劳永逸的效果。顾名思义,内存补丁是在内存中打补丁、修改,确切地说,是对正在运行的程序的数据进行修改,以达到某种效果。
PYG_DLL_Patcher内存补丁制作工具.rar
09-03
软件介绍: PYG_DLL_Patcher可以对主程序进行补丁补丁数据补丁地址最大支持100个,总补丁数据最大支持2048字节、支持OD格式。...DLL劫持内存内存补丁制作工具,程序使用VCT DELPHI2010联合开发。
HID用于劫持系统模块HID.DLL 可做辅助修改内存
06-11
http://www.pudn.com/Download/item/id/3755022.html;用于劫持系统模块HID.DLL 可做辅助修改内存等 (Used to hijack the system module HID.DLL can be used to modify the memory, etc.)
x64 version.dll 劫持源代码
最新发布
04-25
此外,堆栈对齐和内存访问规则也有所改变,这些都可能影响到dll劫持的实现方式。 `version.dll`劫持的核心步骤包括: 1. **DLL注入**:这是劫持的第一步,通常通过创建远程线程或者替换已存在的进程内存来完成。在...
易语言-DLL劫持工具易语言
06-25
在本压缩包中,"DLL劫持工具易语言" 是一个用易语言编写的示例程序,它展示了如何利用DLL劫持技术来影响或控制程序的运行。 DLL(动态链接库)是Windows操作系统中的一种共享代码库,许多应用程序在运行时会调用...
version.dll 劫持源代码
01-08
version.dll 劫持源码,亲自实测可用。VC++可以编译成功
LPK劫持源代码 xp win7通用.zip
07-13
LPK劫持源代码 xp win7通用.zip
lpk.dll劫持源码带配置界面
02-28
lpk.dll源码一份 自动发信源码一份 两者结合之
写自己的软件用ws2_32做网络劫持破解
10-18
用ws2_32.dll做HOOK劫持IP 易语言编写。附带所需模块和视频教程
枚举进程进行DLL注入(还没有达到实用要求只是练手)被注视掉的部分是通过窗口标题查找窗口进程ID的部分。
blackdevily的专栏
05-21 313
<br />TCHAR ProcessName[100] = _T("explorer.exe");<br />wchar_t szDllName[100]   = L"inject.dll";<br />int _stdcall WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )<br />{<br /> <br /> TCHAR
ASPr带壳调试+壳内存CRC分析+Inline Loader
07-31 4346
 作 者: wynney时 间: 2006-11-09,18:40链 接: http://bbs.pediy.com/showthread.php?t=34659【文章标题】: ASPr带壳调试+内存校验完整分析+Inline Loader[Delphi开源]+语音使用录象【文章作者】: wynney【作者主页】: http://ReverserCracker.Spaces.Live.Com【软件
dll劫持代码演示
Anansi的博客
05-14 1175
DLL文件 在说dll劫持之前,我觉得有必要先说明一下dll文件的用途,dll文件是windows下的动态链接库文件,通常情况下,我们的应用程序并不是将所有的代码内容都生成为一个exe可执行文件的,开发者会将部分内容编译打包成一个后缀为.dll的库文件,这样做就我所知有三大好处: 应用程序本体体积会很小。 不同程序间可共享一个库文件。 可以增强程序的可扩展性。 介于这些好处,微软本身也是鼓励动态库文件的使用,当然,他也有一个缺点,那就是每次发布程序,都要讲这些dll文件打包与应用程序放在同一目录下发布,
飘云阁内存补丁工具使用
Cosmopolitan的博客
04-30 1880
程序加了tmd壳,直接脱不方便,程序会弹黄色广告以及加入YY房间的窗口,找到关键代码位置,使用内存工具打补丁。 这是弹黄色网站的函数,用的ShellExecuteA.那怎么确定什么时候壳代码跑完了,到主程序代码了呢,这里用OD调试,断LoadLibraryW,发现15过后,执行到这里,那么我们在补丁工具里使用Hook补丁,设置LoadLibraryW函数调用15次后开始打补丁: 直接用r...
X86逆向教程12:内存补丁的制作
weixin_30443075的博客
07-14 182
本章我们将学习各种打补丁的方式,补丁在软件的破解过程中非常的重要,比如软件无法脱壳我们就只能通过打补丁的方式来破解程序,补丁原理就是当程序运行起来会被释放到内存并解码,然后补丁就通过地址或特征码定位到关键的位置,并替换关键的跳。 ------------------------------------------------------------本章难度:★☆☆☆☆☆☆☆☆☆课程课件:CM_...
易语言编写dll劫持补丁
09-17
易语言是一种简单易学的编程语言,可以用来编写Windows下的应用程序。在编写dll劫持补丁时,可以使用易语言来实现。 首先,dll劫持是指通过修改被劫持的进程加载的dll路径或名称,使其加载恶意的dll文件。编写dll劫持补丁实际上是为了修复这个漏洞,使被劫持的进程加载正确的dll文件。 在易语言中,可以使用WinAPI函数来完成这个任务。首先,需要用到的函数有以下几个:LoadLibrary函数,用于加载dll文件;GetModuleFileName函数,用于获取正在运行的进程模块的文件名;GetWindowsDirectory函数,用于获取Windows目录;GetProcAddress函数,用于获取函数地址;SetWindowText函数,用于设置窗口文本。 具体的步骤如下: 1. 使用GetModuleFileName函数获取当前运行的进程的文件名; 2. 使用GetWindowsDirectory函数获取Windows目录; 3. 使用SetWindowText函数设置窗口文本,提示正在修复dll劫持; 4. 使用LoadLibrary函数加载正确的dll文件; 5. 使用GetProcAddress函数获取正确的函数地址; 6. 修改被劫持的函数指针为正确的地址; 7. 修复完成后,使用SetWindowText函数恢复窗口文本。 以上就是使用易语言编写dll劫持补丁的基本思路和步骤。需要注意的是,这只是一种简单的办法,不能解决所有的dll劫持问题,对于复杂的劫持行为可能需要使用其他更底层的编程语言和技术进行修复。同时,在使用这种修复方法时,也要遵循法律法规,确保程序的合法性和正当性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值