【转】DLL劫持技术(内存补丁技术)

最新推荐文章于 2020-05-14 18:55:28 发布
最新推荐文章于 2020-05-14 18:55:28 发布
阅读量4.7k 收藏 4
点赞数
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccrack/article/details/32705991
版权
本文详细介绍了DLL劫持技术,通过伪造DLL并利用输出函数转发,实现在程序运行时插入补丁。这种方法适用于被强壳保护的软件,如通过劫持ws2_32.dll来对网络应用程序进行补丁。文中还提供了具体实现步骤和代码示例,展示了如何构造伪造的DLL以控制程序执行流程。
摘要由CSDN通过智能技术生成

软件安全系列图书——《加密与解密》(第三版)

 

引用:

第18章 补丁技术20

18.1 文件补丁

18.2 内存补丁

18.2.1 跨进程内存存取机制

18.2.2 Debug API机制

18.2.3 利用调试寄存器机制

18.2.4 DLL劫持技术

18.3 SMC补丁技术

18.3.1 单层SMC补丁技术

18.3.2 多层SMC补丁技术

18.4 补丁工具

 

 

【转】DLL劫持技术(内存补丁技术) - 心雪*冰狐 - 心雪*冰狐 

18.2.4 DLL劫持技术

 

说明

我是从CoDe_Inject帮助下才了解这个DLL劫持技术(或称HOOK),利用这个制作内存补丁非常的好用。

Yonsm在几年前,写了个工具AheadLib,可以很方便地生成各类DLL头文件,见本帖2楼。

这种补丁方法,适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。

 

当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。

最低0.47元/天 解锁文章
ccrack
关注
专栏目录
易语言DLL劫持补丁(Version.dll)
08-04
源码介绍 《DLL劫持技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。 本插件是用易语言编写的DLL劫持补丁(Version.dll)插件大家可以测试下。
DLL劫持技术内存补丁技术
blackoto的专栏
12-22 5392
《加密与解密(第三版)》这种补丁方法,适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会
实现DLL内存补丁,DLL劫持技术
laobobo999的专栏
05-17 1541
 在windows下当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表是根据DLL名来进行查找,首先是查找当前目录下有没这文件,没有话在去查找系统目录C:\\Windows\\system32有没这文件,所以我们可以完全趁这个机会去劫持DLL,把他劫持下来后就可以
DLL补丁劫持制作
dfdhxb995397的博客
04-21 271
DLL: 由于输入表中只包含 DLL 名而没有它的路径名,因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL,如果没找到,则在Windows 系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的 DLL,提供同样的输出表,每个输出函数向真正的系统 DLL。程序调用系统 DLL 时会先调用当前目录下伪造的 DLL...
利用DLL劫持内存补丁技术注入
weixin_30636089的博客
10-18 121
当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录查找,最后是在环境变量中列出的各个目录下查找。利用...
DLL 劫持技术内存补丁技术
11-24
DLL劫持技术是一种典型的内存补丁技术。当一个可执行文件运行时,Windows操作系统通过加载器将可执行模块映射到进程的地址空间中,并解析该模块的输入表,确定所有需要的动态链接库(DLL)。由于输入表中仅包含DLL的...
PYG_DLL_Patcher内存补丁制作工具.rar
09-03
软件介绍: PYG_DLL_Patcher可以对主程序进行补丁补丁数据补丁地址最大支持100个,总补丁数据最大支持2048字节、支持OD格式。...DLL劫持内存内存补丁制作工具,程序使用VCT DELPHI2010联合开发。
HID用于劫持系统模块HID.DLL 可做辅助修改内存
06-11
http://www.pudn.com/Download/item/id/3755022.html;用于劫持系统模块HID.DLL 可做辅助修改内存等 (Used to hijack the system module HID.DLL can be used to modify the memory, etc.)
劫持补丁winmm.e
11-19
易语言源码劫持补丁winmm.dll
winmm劫持补丁的apihook解码常规和特征补丁-易语言
06-12
这里先发一个一般补丁工具能做到 apihook的劫持常规补丁 和 特征补丁,回头再慢慢发些寄存器补丁,硬断补丁之类的 其实仅仅是这种需求的话,一般的补丁工具都可以写出这种补丁 仅仅用到了精益模块,模块请自行从论坛下载 这里仅仅是用的GetVersion示例哦,这个他没返回毕竟简单,也是 易语言 OEP 之后第一个调用api,需要用到哪种补丁请解除注释使用,劫持补丁最好黑月编译
version.dll 劫持源代码
01-08
version.dll 劫持源码,亲自实测可用。VC++可以编译成功
LPK劫持源代码 xp win7通用.zip
07-13
LPK劫持源代码 xp win7通用.zip
lpk.dll劫持源码带配置界面
02-28
lpk.dll源码一份 自动发信源码一份 两者结合之
枚举进程进行DLL注入(还没有达到实用要求只是练手)被注视掉的部分是通过窗口标题查找窗口进程ID的部分。
blackdevily的专栏
05-21 323
<br />TCHAR ProcessName[100] = _T("explorer.exe");<br />wchar_t szDllName[100]   = L"inject.dll";<br />int _stdcall WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )<br />{<br /> <br /> TCHAR
写自己的软件用ws2_32做网络劫持破解
10-18
用ws2_32.dll做HOOK劫持IP 易语言编写。附带所需模块和视频教程
ASPr带壳调试+壳内存CRC分析+Inline Loader
07-31 4372
 作 者: wynney时 间: 2006-11-09,18:40链 接: http://bbs.pediy.com/showthread.php?t=34659【文章标题】: ASPr带壳调试+内存校验完整分析+Inline Loader[Delphi开源]+语音使用录象【文章作者】: wynney【作者主页】: http://ReverserCracker.Spaces.Live.Com【软件
dll劫持代码演示
Anansi的博客
05-14 1200
DLL文件 在说dll劫持之前,我觉得有必要先说明一下dll文件的用途,dll文件是windows下的动态链接库文件,通常情况下,我们的应用程序并不是将所有的代码内容都生成为一个exe可执行文件的,开发者会将部分内容编译打包成一个后缀为.dll的库文件,这样做就我所知有三大好处: 应用程序本体体积会很小。 不同程序间可共享一个库文件。 可以增强程序的可扩展性。 介于这些好处,微软本身也是鼓励动态库文件的使用,当然,他也有一个缺点,那就是每次发布程序,都要讲这些dll文件打包与应用程序放在同一目录下发布,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值