探秘rusty-memory-loadlibrary:进程内存加载DLL的黑科技

于 2024-06-19 09:36:10 发布
阅读量252 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00057/article/details/139791451
版权

探秘rusty-memory-loadlibrary:进程内存加载DLL的黑科技

在追求高效与安全的技术旅途中,我们总是在寻找那些能够推动边界的技术瑰宝。今天,让我们一起聚焦一个开源项目——rusty-memory-loadlibrary,这是一款利用Rust编写的神器,专为那些对底层操作充满热情的开发者们准备。

项目介绍

rusty-memory-loadlibrary是一个专注于在目标进程中从内存中直接加载DLL的工具,仅支持x64位系统。它的灵感来源于fancycode/MemoryModule,通过高度优化的代码,实现了跨进程内存映射和动态链接库的注入,为软件逆向工程、安全测试以及需要精细控制进程间通信的场景提供了强大武器。

技术剖析

这一项目的核心在于其巧妙利用了Windows的内部机制。通过PEB(Process Environment Block)构建导入表,当标准方法受限时,则转向经典DLL注入方式,借助WriteProcessMemoryReadProcessMemory实现数据的跨进程传输,而DLL的初始化调用则依靠精心设计的壳码。此外,它还提供了对TLS(线程局部存储)的支持,并推荐使用更安全的线程创建方法EtwpCreateEtwThread来执行远程线程。

应用场景

想象一下,在进行安全研究或开发高度定制化的系统工具时,如何隐秘且高效地让目标进程执行特定的DLL逻辑而不留下明显痕迹?rusty-memory-loadlibrary正为此而生。无论是用于模拟攻击测试、实现特定功能的热更新,还是在高度受限环境中加载必要的运行时组件,这个工具都显得尤为珍贵。特别是对于网络安全专家和系统级程序员来说,它无疑是一柄利器。

项目亮点

  • 精确的进程内动态加载:直接在目标进程地址空间中映射DLL,提高加载效率。
  • 灵活的操作模式:提供远程加载和反射式加载两种方式,适应不同的应用场景。
  • 底层控制:深度利用Windows API,展现底层编程的魅力,满足复杂需求。
  • 安全与测试:集成PPID(父进程ID)篡改功能,强化了隐蔽性和测试场景的多样性。
  • 持续进化:尽管已功能丰富,但项目团队仍有明确的改进计划,包括资源释放、增强功能性与稳定性等。

结语

在软件开发与系统安全的征途中,每一个强大的工具都是探险者的灯塔。rusty-memory-loadlibrary以Rust的优雅和Windows系统的深度交互,为我们打开了一个新的可能性之门。无论你是安全研究员,还是对系统底层探索感兴趣的开发者,这款开源项目都值得一试。深入其中,你将发现更多技术之美,解锁更多高级玩法。让我们携手,探索进程内存的奥秘,以rusty-memory-loadlibrary为伴,开启你的技术探险之旅。

乌昱有Melanie
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
内存加载dll
03-26
内存加载动态库 MemoryLoadLibrary 有例子。 /* * Memory DLL loading code * Version 0.0.3 * * Copyright (c) 2004-2013 by Joachim Bauch / mail@joachim-bauch.de * http://www.joachim-bauch.de * * The contents of this file are subject to the Mozilla Public License Version * 2.0 (the "License"); you may not use this file except in compliance with * the License. You may obtain a copy of the License at * http://www.mozilla.org/MPL/ * * Software distributed under the License is distributed on an "AS IS" basis, * WITHOUT WARRANTY OF ANY KIND, either express or implied. See the License * for the specific language governing rights and limitations under the * License. * * The Original Code is MemoryModule.h * * The Initial Developer of the Original Code is Joachim Bauch. * * Portions created by Joachim Bauch are Copyright (C) 2004-2013 * Joachim Bauch. All Rights Reserved. * */ #ifndef __MEMORY_MODULE_HEADER #define __MEMORY_MODULE_HEADER #include typedef void *HMEMORYMODULE; typedef void *HMEMORYRSRC; typedef void *HCUSTOMMODULE; #ifdef __cplusplus extern "C" { #endif typedef HCUSTOMMODULE (*CustomLoadLibraryFunc)(LPCSTR, void *); typedef FARPROC (*CustomGetProcAddressFunc)(HCUSTOMMODULE, LPCSTR, void *); typedef void (*CustomFreeLibraryFunc)(HCUSTOMMODULE, void *); /** * Load DLL from memory location. * * All dependencies are resolved using default LoadLibrary/GetProcAddress * calls through the Windows API. */ HMEMORYMODULE MemoryLoadLibrary(const void *); /** * Load DLL from memory location using custom dependency resolvers. * * Dependencies will be resolved using passed callback methods. */ HMEMORYMODULE MemoryLoadLibraryEx(const void *, CustomLoadLibraryFunc, CustomGetProcAddressFunc, CustomFreeLibraryFunc, void *); /** * Get address of exported method. */ FARPROC MemoryGetProcAddress(HMEMORYMODULE, LPCSTR); /** * Free previously loaded DLL. */ void MemoryFreeLibrary(HMEMORYMODULE); /** * Find the location of
vscode提交leetcode-rusty-leetcode::crab:同时对抗LeetCode和RustBorrowChecker
06-30
内存使用情况 评论 上次审核 0001 二和 简单的 0 毫秒 2.4 MB 0020 有效括号 简单的 0 毫秒 2.1 MB 0021 合并两个排序列表 简单的 0 毫秒 2.0 MB 0024 成对交换节点 中等的 0 毫秒 2.0 MB 0070 爬楼梯 简单的 0 毫秒...
把文件读到内存中然后使用内存加载
u012547790的专栏
04-03 5162
把文件读到内存中然后使用内存加载 分两种方式实现C++和C   view sourceprint? 001.int read_dll_memory_load (TCHAR str_dll_path[],char str_export_fun[]) //用C++的方式把文件读到内存加载 002.{  003.filebuf *pbuf;  004.i
c 内存加载易语言dll,[求助]MemoryLoadLibrary 加载MFC 易语言 DLL 失败
weixin_29093169的博客
05-19 904
[求助]MemoryLoadLibrary 加载MFC 易语言 DLL 失败2011-10-6 13:3213431[求助]MemoryLoadLibrary 加载MFC 易语言 DLL 失败2011-10-6 13:3213431接着昨天发的求助 DLL补丁,网上找了一份代码, Memory DLL loading code模拟LoadLibrary ,经过调用发现对win32 DLL有效,但是...
Memory-Load-DLL.rar_Memory load DLL _MemoryLoadLibrary_load dll_
09-22
Windows平台提供的加载library的API(LoadLibarary, LoadLibraryEx)只能加载文件系统中的Library. 没有体哦那个从内存加载Dll的功能。但是,有些情况下又需要这样的功能。譬如,你不想在发布包中包含很多文件,又或者你想给那些逆向工作者一些苦头吃。这时一个常见的做法是先把dll文件写到一个临时文件中,然后从临时文件中导入它。当程序终止时把临时文件删除。
启动优化中的一些黑科技,了解一下~
最新发布
chuyouyinghe的专栏
04-27 341
启动速度优化是 android 开发中的常见需求,除了一些常规的手段之外,也有一些黑科技手段,我们来看一下这些黑科技手段是否有效,以及如何实现本文主要是对Android 性能优化小册相关内容的学习实践,加入了自己的理解与实践内容,感兴趣的同学可以点击查看小册。2在性能优化中除了一些常规手段外,也经常有一些黑科技手段,本文主要介绍了启动优化中的线程优先级设置,核心线程绑定大核,GC 抑制等手段, 讲解了一下这些黑科技手段是否有效,以及具体是怎么实现的,希望对你有所帮助。参考资料。
Windows注入与拦截(6) -- 从内存加载DLL
热门推荐
while(1) { smile(); }
04-09 4万+
Windows提供的API(LoadLibrary, LoadLibraryEx)只支持从文件系统上加载DLL文件,我们无法使用这些API从内存加载DLL。 但是有些时候,我们的确需要从内存加载DLL,比如: 对发布的文件数量有限制。我们可以将DLL打包到exe的资源中,程序运行时从调用LoadResource等API读取DLL文件到内存中,然后从内存加载DLL。 需要对DLL进行压缩...
WINDOWS核心编程笔记(22-27)
深之JohnChen的专栏
12-10 5854
第22章插入DLL和挂接API在MicrosoftWindows中,每个进程都有它自己的私有地址空间。当使用指针来引用内存时,指针的值将引用你自己进程的地址空间中的一个内存地址。你的进程不能创建一个其引用属于另一个进程内存指针。因此,如果你的进程存在一个错误,改写了一个随机地址上的内存,那么这个错误不会影响另一个进程使用的内存。在Windows98下运行的各个进程共享2GB的地址空间,该地址空间
rusty-celery::crab:芹菜的Rust实现,用于生产和使用后台任务
02-05
Rust实现,用于通过分布式消息队列生成和使用异步任务。 无论您在Rust的经验水平如何,我们都欢迎大家的贡献。 对于初学者来说,请参阅 。 如果您已经了解Rust的基础知识,但是它们是Celery的新手,请查看或原始的...
rusty-memory:简单的rust服务器可以存储来自Neovim客户端的想法
04-02
这个项目名为“rusty-memory”,它提供了一个基础的基础设施,让开发者能够在Neovim环境中无缝记录和管理灵感。 首先,我们来看看Rust语言。Rust是Mozilla研发的一种系统级编程语言,强调速度、内存安全和并行性。...
内存加载DLL完整代码及示例
11-07
这是一个从内存(资源形式)直接加载并调用DLL中函数的例子。 xDll工程只是一个测试用的dll,附上代码,编译出的xDll.dll直接放在testLoadDll工程目录下 testLoadDll是实际测试代码,从资源直接加载Dll并调用其导出函数 加载MemoryLoadLibrary() 查找导出函数用MemoryGetProcAddress() 释放时用MemoryFreeLibrary 详情请见代码。 by achillis QQ:344132161
完美的内存加载DLL支持32位和64位DLL
02-20
一位高手写的内存加载DLL的源代码,支持32位和64位的DLL,支持XE,完美的处理32/64位Windows动态库的加载模,网上很少能下载到了,放到这里备份一下
内存中调用DLL
05-04
dll以资源的形式加载到工程中,再以内存中调用,非外部释放调用
MemoryModule windows 下内存加载动态库的源代码
05-25
windows 下在内存加载动态库实现的源代码 MemoryModule
内存加载DLL运行
11-16
内存加载DLL运行内存加载DLL运行内存加载DLL运行内存加载DLL运行内存加载DLL运行
a-lil-rusty:学习生锈:winking_face:
03-21
根据压缩包子文件的文件名 "a-lil-rusty-main" 可以推测,这可能是一个 Rust 项目的主目录,包含项目的源代码和相关资源。在这样的项目中,通常会找到以下文件和目录: - `Cargo.toml`:Rust 项目的配置文件,用于...
rusty-rain:锈蚀制成的交叉平台矩阵雨
03-05
cd rusty-rain cargo run --release 或安装: cargo install rusty-rain 出口 要退出,只需按ESC或Ctrl + C 命令行参数 Rusty Rain 0.2.0 FLAGS: -h, --help Prints help information -s, --shade Set Rain ...
IMPORTERROR: MEMORYLOADLIBRARY FAILED LOADING
蜗牛的家
01-06 2388
在使用py2exe将程序生成exe的时候,py2exe提供了一个bundle参数,默认是3 3: don't bundle 2: bundle everything but the Python interpreter 1: bundle everything, including the Python interpreter 开始的时候,还以为bundle取值只是对最后的
Linux锁机制:读-复制-更新策略详解
1. **读复制** (Read-Copy): 在这个阶段,线程或进程首先创建一个新版本的数据副本,而原始数据仍保持不变。这样做避免了锁竞争,提高了并发访问的效率,因为多个线程可以同时读取旧版本的数据,而不会相互阻塞。 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乌昱有Melanie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值