本文介绍了如何在分析加壳后DLL时,通过创建测试程序动态加载DLL并调试其导出函数。利用LoadLibrary和GetProcAddress获取函数地址,通过设置断点跟踪DLL内部行为。这种方法适用于DLL没有明确的导出函数地址,且讨论了DLL与EXE在内存加载上的区别。
这个是很久之前分析一个DLL时的文章了。写在了QQ空间里面。现在翻出来,慰问下自己。
其实不算是高明的东西。之前在分析一个样本时,该样本释放出了一个DLL,由于脱壳的功力不够强悍,但是便于分析。就自己写了个程序来调用。OnlyDBG虽然可以LoadDll插件来加载,但是个人感觉复杂(也许是没有用好的关系),我更喜欢此种方式,代码简陋,不要耻笑:)
有如下代码片段
#include <windows.h>
#include <stdio.h>
_declspec (dllexport) void FuncationName(ParamType Param,...);
int main(int argc ,char *argv[])
{
HMODULE hDll = NULL;
FARPROC FunAddr;
hDll = LoadLibrary("DllName.dll");
if(hDll==INVALID_HANDLE_VALUE)
{
printf("dll load fail/r/n");
return 0;
}
else
{
FunAddr = GetProcAddress(hDll,"FuncationName");
if(FunAddr==NULL) return 0;
__asm CALL FunAddr
}
FreeLibrary(hDll);
return 0;
}
最低0.47元/天 解锁文章
6738
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
