Dll导出函数劫持通用方法

最新推荐文章于 2024-05-22 23:34:55 发布
最新推荐文章于 2024-05-22 23:34:55 发布
阅读量5.4k 收藏 13
点赞数 3
分类专栏: windows安全 文章标签: windows安全 DLL劫持 伪造DLL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meanong/article/details/80572951
版权

问题发现

dll劫持是一种常见的攻击方法,但是也可以用在不知道程序源码的情况下调试dll的函数。之前在滴水教程的视频中注意到一个问题,视频作者演示了一个劫持messagebox函数,打印输出参数的过程,当时学生提问是否存在一种通用的方法可以劫持所有的函数,当时视频作者回答是无法做到。最近有些空闲想到了这个问题,觉得从模块化的角度来讲,应该存在一种可以劫持所有dll函数的方法。所以在此尝试,尝试后发现了一种伪造dll的通用方法,使用这中方法,可以通过脚本的方式,实现任意一个dll的伪造。

劫持方法

劫持思路

本文采取的方式为新建一个dll,新建的dll满足一下特点:

1.导出原dll所有的函数
2. dll的名称和原dll相同
3. 所有原dll的导出函数都有对应的实现

这样在应用程序中就无法分辨自己加载的dll是原本合法的还是伪造的。当然,此方法仅限于不检查签名的dll。

可能问题

1.函数的返回类型未知

个人见解:从汇编的角度讲,函数的返回类型在汇编语言的运行过程中是未知的,返回值大都存储在eax中,主程序则根据设定的不同,去使用函数返回的eax的值。因此,我们如果在自己的函数中,让真正的函数去执行,那么返回值就无所谓了。
2.函数的参数未知

个人见解:从汇编的角度讲,函数的参数列表只是在调用的时候,为调用者提供一个压栈的顺序。在函数调用的过程中,函数调用者负责压栈参数,函数的执行

最低0.47元/天 解锁文章
meanong
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dll 劫持和应用研究
顶峰
03-31 708
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其中供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
查看动态链接库中函数参数类型
热门推荐
chinabinlang的专栏
06-28 4万+
原创文章 转载说明出处:chinabinlang   一般情况下,只有一个DLL文件,我们无法知道dll函数的参数,通过DLL查看工具也只可以知道DLL函数的名字,如 Dependency。   一般可以通过如下方式: #define DllImport   __declspec( dllimport ) #define DllExport   __declspec( dllexp
[自制软件] DLL自动劫持生成器
最新发布
weixin_65409651的博客
05-22 806
DLL自动注入的原理我前面博文里简单说过.就是程序调用DLL的时候如果没有指定DLL目录,那么会优先从程序同目录搜索,如果同目录没有那么就从系统目录里面搜索.3, 将AudioSes.dll拖动到我的[DLL自动劫持生成器]软件,会自动识别导出表. 点击 [生成DLL]按钮,选择保存位置.1,还是用空洞骑士为例子. 游戏目录有个UnityPlayer.dll ,我将演示替换这个DLL文件实现注入.而我这个是直接生成DLL文件,直接编译好了.而且我的软件支持导出64位DLL.
通过中转DLL函数实现DLL劫持
CSDN
09-22 7379
当我们运行程序时,一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库,在进程未被创建之前Ntdll.dll库就被默认加载了,三环下任何对其劫持都是无效的,除了该Dll外,其他的Dll都是在程序运行时,在输入表中查找到对应关系后才会被装载到内存中的,理论上来说对除NtDll以外的其他库都是可操作的。编译main.cpp 动态加载函数,将lyshark.dll放入同一个目录下即可,程序运行后会动态调用DLL中的导出函数。默认会生成如下样子,直接在里面加上一个弹窗,然后编译DLL
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 5489
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
x64位DLL接口导出函数查看器
07-01
《x64位DLL接口导出函数查看器详解》 在Windows操作系统中,动态链接库(Dynamic Link Library,简称DLL)是一种共享代码的机制,它允许不同程序共享同一段内存中的代码,从而节省系统资源。当涉及到64位应用程序...
VC++编写DLL导出函数及其调用方法
01-07
本教程将详细讲解如何使用VC++(以Visual Studio 2008 SP1为例)来创建、编写和导出DLL,以及如何在其他项目中调用这些导出函数。 一、创建DLL项目 1. 打开Visual Studio 2008 SP1,选择“文件” > “新建” > ...
使用VC++6.0实现查看dll导出函数名的C++源代码
02-07
HMODULE hModule=::LoadLibrary("DbgHelp.dll"); if(hModule==NULL) return; PFNEXPORTFUNC ImageRvaToVax=NULL; ImageRvaToVax=(PFNEXPORTFUNC)::GetProcAddress(hModule,"ImageRvaToVa"); if...
详解VS2019 dumpbin查看DLL导出函数
08-18
dumpbin查看DLL导出函数在VS2019中的应用 dumpbin是一个命令行工具,在VS2019中可以用来查看DLL导出函数DLL(Dynamic Link Library)是Windows操作系统中的一种共享库,用于存储可被多个应用程序共享的代码和...
函数查看器 用于查看dll导出函数
06-13
查看动态链接库DLL文件接口函数信息.DLL函数查看器V2.0是在1.0版的基础上作了重大的改进,不仅支持查看DLL文件的导出函数和引用函数信息及引用函数来源,也支持所有符合PE文件格式的文件,包括EXE文件、OCX文件等的导出...
DLL劫持代码生成.zip
09-24
DLL劫持代码生成.zip 用于生产劫持dll的xxx.cpp代码
文件上传
weixin_43152809的博客
12-02 263
什么是文件上传漏洞 在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率。比如企业的OA系统,允许用户上传图片、视频、头像和许多其他相关类型的文件。然而向用户提供的功能越多,web应用收到攻击的可能性就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站的权限,或进一步危害服务器 为什么文件上传存在漏洞 上传文件时,如果服务端代码未对客户端上传的文件进行严格过滤,就容易造成文件上传漏洞 绕过限制 apache解析从右到
DLL 劫持原理(运维)
Javachichi的博客
03-29 1410
Windows 应用程序中,实行了模块化设计,也就是说并不是每个应用程序都编写完所有的功能代码,而是在运行过程中调用相应功能的 DLL,不需运行的功能就不调用,所以大大加快了程序的加载速度和效率,其他应用程序也可以调用相关的 DLL,这样也有利于促进代码重用以及内存使用效率,减少了资源占用,而且程序更新时也只要更新相关的 DLL 就可以了。伪造dll 制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造dll 的同名函数,进入劫持 DLL 的代码,处理完毕后,再调用原DLL函数
DLL搜索的目录顺序(DLL劫持
WLINX
08-23 1344
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
Dll劫持
SHELLCODE_8BIT的博客
12-01 662
dll劫持_. iDea.的博客-CSDN博客_dll劫持
DLL劫持原理学习
Gamma_lab的博客
08-06 1010
0x01 什么是DLL? 百度百科: DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 简而言之: DLL 是一个包含可由多个程序同时使用的代码和数据的库。例
DLL劫持,注入DLL的一种方法
zhangmiaoping23的专栏
04-13 6994
先转一篇文章:http://hi.baidu.com/e1mer/item/eae9381377ada2f3756a84b8 1.dll劫持,粗略整理了下,可以劫持dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入K
DLL劫持技术解析(DLL Hijack)
輚至消亡
07-12 3706
0x01 简介 DLL劫持技术利用的是WindowsDLL访问时查找DLL位置的一个漏洞,WindowsDLL的默认查找顺序(XP SP2及之后)如下: 1. EXE所在文件夹 2. Windows系统目录 3. Windows 16位系统目录 4. Windows目录 5. 当前文件夹 6. PATH环境变量中指出的目录 当我们在EXE程序中导入了某个DLL文件时,其搜索并使...
查看dll导出函数方法
05-26
要查看 DLL 文件中导出函数方法,可以使用 Microsoft Visual Studio 中的“Dumpbin”工具。这个工具可以显示 DLL 文件的所有导出函数以及它们的地址。以下是使用 Dumpbin 工具查看 DLL 文件的导出函数的步骤: 1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值