针对LdrLoadDll下条件断点过滤指定名称DLL加载时断点生效

最新推荐文章于 2022-03-02 14:21:56 发布
最新推荐文章于 2022-03-02 14:21:56 发布
阅读量1k 收藏
点赞数
分类专栏: windbg命令收集 调试技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslife/article/details/49891097
版权

针对加载*ser32.dll下断点:

bu ntdll!LdrLoadDll "r $t0=poi(poi(esp+c)+4);as /mu ${/v:dllname} @$t0;.block{.if($spat(\"${dllname}\",\"*ser32.dll\")){kbn}; .else{ad ${/v:dllname};g}}"


------------------------------------------------
命令: as
功能: 定义别名
/ma  参数指定的内存地址当做ASCII字符串。
/mu  参数指定的内存地址当做Unicode字符串。
/msa  参数指定的内存地址当做ANSI_STRING字符串。
/msu  参数指定的内存地址当做UNICODE_STRING字符串。
/f  别名等于参数指定文件的内容。
/e  别名等于参数指定的环境变量。

------------------------------------------------
命令: ${} (说明:准确说不是命令,是Command Tokens类似.if之类)
功能: ${}是别名解释器,可以使用windbg帮助手册查看详细信息
Text ${Alias} Text 
Text ${/d:Alias} Text 
Text ${/f:Alias} Text 
Text ${/n:Alias} Text 
Text ${/v:Alias} Text 

/v:  保持别名原样,不翻译,在定义和删除的时候用。
/n:  如果别名定义就翻译为内容,否则不做任何翻译。
/f:  如果别名定义就翻译为内容,否则翻译为空。
/d:  如果别名被定义,翻译为1,否则翻译为0,相当于#ifdef。

-----------------------------------------------
命令: 20个伪寄存器
User-Defined Pseudo-Registers
There are 20 user-defined pseudo-registers ($t0, $t1, ..., $t19). These pseudo-register are variables that you can read and write through the debugger. You can store any integer value in these pseudo-registers. They can be especially useful as loop variables.


To write to one of these pseudo-registers, use the r (Registers) command, as the following example shows.


0:000> r $t0 = 7
0:000> r $t1 = 128*poi(MyVar)
cosmoslife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
3. 这段代码调用 LdrLoadDll dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. ...
DLL注入相关
kernweak的博客
06-02 575
DLL是通过问卷映射实现,只占一个内存空间,每个DLL收到一份映像,DLL之后系统页面文件明显变大,内存使用明显变大。 DLL引用分显示隐式 如果有lib+dll+头文件 则:建工程的候选择导出符号 #pragma comment(lib, “libname.lib”) #include “libname.h” func(); 只有DLL文件 LoadLibrary Ge...
LoadDll详解----衔接于上篇的DLL
For Geek
05-12 4020
根据我们上次所讲,其大概流程是差不多理清了,但是还有具体的一些细节和一个Tls的大头还没阐述,先把LoadDll的具体细节讲完,这里推荐大家去看毛德操先生的著作《内核情景分析》,这本书对ReactOS(一种也是基于NT的内核,但是不同于Windows,它是完全开源的)的解析入木三分,我读完这个DLL的装后大有所获,所以强烈推荐这本好书!!! 好了,接下来就是我们的正题了先复习下调用流程。 Ldr...
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2921
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 342
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
几个重要的函数
lwglucky的专栏
03-21 824
几个重要的函数: [特别划来的几个底层函数很有用,有公开的、也有没公开的,有用就收起来] ± NtQueryDirectoryFile ± 在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。 NTSTATUS NtQueryDirectoryFile( IN HANDLE FileH
(开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
11-02
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,...
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)|sunflover454-9385421-x86Inject_v1.2.zip
10-25
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,...
LdrLoadDll驱动dll注入源码
01-20
正常情况下,这个函数是系统在执行exe文件自动调用来关联的DLL。然而,通过驱动程序,我们可以直接调用LdrLoadDll来实现非用户模式下的DLL注入,这种方法通常具有较高的权限,能够对受保护的进程进行操作。 ...
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll
一、C++反作弊对抗实战 (基础篇 —— 6.利用LdrLoadDll远程线程注入DLL)
Koma的主页
03-02 1161
利用LdrLoadDll远程注入DLL(支持x32与x64)
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
热门推荐
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
隐藏 LoadLibrary() 函数
huobengle
09-25 171
#include <Windows.h> typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING *PUNICO...
利用LdrLoadLibrary与隐藏DLL (绕过API HOOK LoadLibrary)
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
Wow64(32位进程)注入DLL到64位进程
jiangqin115的专栏
07-04 5839
http://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/#Wow64环境下32位进程注入64位进程 DLL注入 向其他进程注入DLL通常的做法是通过调用CreateRemoteThread这个API在目标进程内创建一个远程线程,用这个线程来调用LoadLibraryA或LoadLibraryW(下文统称Load
ldrloaddll
最新发布
09-20
ldrloaddll是操作系统中的一个函数,用于将动态链接库(DLL到当前进程中。 动态链接库是一组用于共享的可执行代码和数据的文件,它能被不同的程序调用。当一个程序需要使用动态链接库中的函数或者变量,就...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值