这篇博客介绍了DLL劫持的实现过程,利用 AheadLIB 工具生成同名DLL并放置于目标程序目录,以实现对程序行为的干预。同时,文章探讨了在加壳程序中搜索字符串的方法,以及如何绕过CRC检测。此外,还讲解了硬件断点的工作原理,易语言字符串比较的特征,以及DLL加载时DLL_PROCESS_ATTACH通知的作用。
实现dll劫持:
首先我们需要使用到工具:AheadLIB,这个工具可以帮我们生成dll文件的cpp代码。
什么是dll劫持,就是利用程序运行时会通过搜索名字来运行dll文件的方式,自己生成一个同名的dll文件,并且放在程序的同目录下,从而使程序会使用我们自己生成的dll文件,当然程序仍会使用系统的dll文件,因为我们自己生成的dll文件有系统dll文件的入口,否则我们就需要将系统的dll文件的代码全部生成,那样工作量会非常大,所以dll劫持的意思就是先加载我们的同名dll文件然后继续运行系统的dll文件。
然后开始尝试dll劫持,打开AheadLib工具,将我们想要劫持的dll文件拖入其中,然后直接生成代码
这样就生成成功了。然后我们再创建一个dll工程,打开vs,创建一个动态链接库(dll),然后将我们的生成的cpp文件拖入项目文件中,然后再将其在源文件中打开,然后右键我们的项目重新生成,找到dllmain函数,因为dllmain是程序的入口,所以我们可以将我们想要添加的代码放入dllmain函数中,比如我们可以添加一个弹窗来证实我们成功实现dll劫持。
编译链接,找到我们生成的dll文件,放入我们想要dll劫持的exe的同一级目录中就可以了。
一个加了壳的程序如何搜索字符
最低0.47元/天 解锁文章
扫一扫
954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
