dll劫持

最新推荐文章于 2022-06-01 15:58:58 发布
最新推荐文章于 2022-06-01 15:58:58 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 软件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/45891077
版权

【文章标题】: dll劫持
【文章作者】: 125096
【软件名称】: dll.dll
【加壳方式】: 无
【编写语言】: VS2010
【使用工具】: VS2010,OllyDbg,LordPE.EXE,MSND
【操作平台】: 盗版WIN732位操作系统
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
  
    大家好,我是125096。今天研究了下dll劫持,以前听说过,也看到过论坛里大牛们放出的成品。一直认为这是一个神奇的东东,打我PG我不乖。
以前中过lpk.dll病毒的朋友心里最清楚了。应用程序会从当前路径加载lpk.dll这个例子最好不过了。我的系统的盗版的win7系统发现不会中这个病毒了。把lpk.dll和USP10.dll拷贝到exe的目录下不会从当前目录加载。尝试找了许多系统的dll都不会? 群里的扫地大叔说系统核心dll不会加载的。貌似这个是win7的新改进,以前用盗版的XP系统。经常中这玩意。在win7中注册表的位置是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs],我尝试着改下dll,发现无权限。里面包括的dll有很多,大家可以打开注册表自己定位看下。好了,说了这么多了。咱们开始吧。less go



下面的例子是exe调用系统函数部分。GetFileVersionInfoSize位于version.dll(要劫持dll时请去注册表确认是否存在名单中,当然我这个不在)

#include <iostream>
 
#include <Windows.h>
 
#include <Winver.h>
 
#pragma comment (lib,"Version.lib")
 
using namespace std;
 

int main (void)
 
{
 

   DWORD nSize=GetFileVersionInfoSize(TEXT("D:\\IPHLPAPI.DLL"),NULL);
 
   cout<<nSize<<endl;
 
   return 0;
 
}


 

下面我们用LordPE.EXE打开version.dll,这个dll很小,只有15个导出函数,下面会减少不少工作量。由于不同版本的win7可能这里和我的不一样(我的是盗版win7没更新补丁的)


 

我的思路的这样的,exe加载我的dll,我的dll在加载系统目录下的dll然后获取系统的函数给exe调用。代码采用vs2010编写,由于编译器会产生很多垃圾代码(其实就是堆栈平衡之类的,这个堆栈平衡会影响咱们的工作。所以先定义我们写的函数是asm的,让编译器不用产生垃圾代码,不过我们就得自己来处理堆栈了)

//宏定义
 
#define EXTERNC extern "C"
 
#define NAKED __declspec(naked)
 
#define EXPORT __declspec(dllexport)
 

#define ALCPP EXPORT NAKED
 
#define ALSTD EXTERNC EXPORT NAKED void __stdcall
 
#define ALCFAST EXTERNC EXPORT NAKED void __fastcall
 
#define ALCDECL EXTERNC NAKED void __cdecl
 


 
// 导出函数
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoA=_My_GetFileVersionInfoA,@1")
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoByHandle=_My_GetFileVersionInfoByHandle,@2")
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoExW=_My_GetFileVersionInfoExW,@3")
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeA=_My_GetFileVersionInfoSizeA,@4")
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeExW=_My_GetFileVersionInfoSizeExW,@5")
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoSizeW=_My_GetFileVersionInfoSizeW,@6")
 
#pragma comment(linker, "/EXPORT:GetFileVersionInfoW=_My_GetFileVersionInfoW,@7")
 
#pragma comment(linker, "/EXPORT:VerFindFileA=_My_VerFindFileA,@8")
 
#pragma comment(linker, "/EXPORT:VerFindFileW=_My_VerFindFileW,@9")
 
#pragma comment(linker, "/EXPORT:VerInstallFileA=_My_VerInstallFileA,@10")
 
#pragma comment(linker, "/EXPORT:VerInstallFileW=_My_VerInstallFileW,@11")
 
#pragma comment(linker, "/EXPORT:VerLanguageNameA=_My_VerLanguageNameA,@12")
 
#pragma comment(linker, "/EXPORT:VerLanguageNameW=_My_VerLanguageNameW,@13")
 
#pragma comment(linker, "/EXPORT:VerQueryValueA=_My_VerQueryValueA,@14")
 
#pragma comment(linker, "/EXPORT:VerQueryValueW=_My_VerQueryValueW,@15")


 

#include <Windows.h>
 
#include <stdio.h>
 
#include <tchar.h>
 
#include "MyExport.h"   
 
//全局变量
 
HMODULE                                g_hModule                                =        NULL;        
DWORD                                g_dwReturn[15]                        =        {0};        

#pragma intrinsic(strcat,memcmp,memcpy)                                                        
#pragma comment(linker, "/entry:DllMain")                                
 
#pragma comment(lib,"User32.lib")
 
FARPROC WINAPI GetAddress(PCSTR pszProcName);
 
BOOL WINAPI Load();
 

BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
 
{
 
        switch(dwReason)
 
        {
 
        case DLL_PROCESS_ATTACH:
 
                {
 
                        DisableThreadLibraryCalls(hModule);  
 
                        if (!Load())return FALSE;
 
                }
 
                break;
 
        case DLL_PROCESS_DETACH:
 
                {
 
                        if (g_hModule)
 
                        {
 
                                FreeLibrary(g_hModule);
 
                                g_hModule=NULL;
 
                        }
 
                }
 
                break;
 
        case DLL_THREAD_ATTACH:{}break;
 
        case DLL_THREAD_DETACH:{}break;
 
        }
 
        return TRUE;
 
}
 



FARPROC WINAPI GetAddress(PCSTR pszProcName)
 
{
 
        FARPROC fpAddress=NULL;
 
        if( (fpAddress = GetProcAddress(g_hModule, pszProcName) ) != NULL)
 
                return fpAddress;   
 
        ExitProcess(1);
 
}
 


//加载原始模块
 
__inline BOOL WINAPI Load()
 
{
 
        TCHAR tzPath[MAX_PATH] = {0};
 
        GetSystemDirectory(tzPath, MAX_PATH);  //未测试64位系统, 64位系统下32位dll实际在wow64目录下
 
        _tcscat_s(tzPath, TEXT("\\version.dll"));
 
        if (  ( g_hModule = LoadLibrary(tzPath) ) == NULL )
 
                return FALSE;
 

        return TRUE;
 
}
 




 
// 导出函数
 
ALCDECL My_GetFileVersionInfoA(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[0 * TYPE long];  
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoA")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[0 * TYPE long]; //返回函数
 

}
 

 


 
// 导出函数
 
ALCDECL My_GetFileVersionInfoByHandle(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[1 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoByHandle")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[1 * TYPE long];
 
}
 

 



 
// 导出函数
 
ALCDECL My_GetFileVersionInfoExW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[2 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoExW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[2 * TYPE long];
 
}
 

 



 
// 导出函数
 
ALCDECL My_GetFileVersionInfoSizeA(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[3 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoSizeA")();
 
        劫持这个函数试试
 
        //GetAddress("GetFileVersionInfoSizeA")();
 
        //_asm
 
        //{
 
        //        mov eax,0x1234
 
        //}
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[3 * TYPE long];
 
}
 

 





 
// 导出函数
 
ALCDECL My_GetFileVersionInfoSizeExW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[4 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoSizeExW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[4 * TYPE long];
 
}
 

 


 
// 导出函数
 
ALCDECL My_GetFileVersionInfoSizeW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[5 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoSizeW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[5 * TYPE long];
 
}
 

 


 
// 导出函数
 
ALCDECL My_GetFileVersionInfoW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[6 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("GetFileVersionInfoW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[6 * TYPE long];
 
}
 

 


 
// 导出函数
 
ALCDECL My_VerFindFileA(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[7 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerFindFileA")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[7 * TYPE long];
 
}
 


 
// 导出函数
 
ALCDECL My_VerFindFileW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[8 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerFindFileW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[8 * TYPE long];
 
}
 


 
// 导出函数
 
ALCDECL My_VerInstallFileA(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[9 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerInstallFileA")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[9 * TYPE long];
 
}
 


 
// 导出函数
 
ALCDECL My_VerInstallFileW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[10 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerInstallFileW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[10 * TYPE long];
 
}
 

// 导出函数
 
ALCDECL My_VerLanguageNameA(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[11 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerLanguageNameA")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[11 * TYPE long];
 
}
 
// 导出函数
 
ALCDECL My_VerLanguageNameW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[12 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerLanguageNameW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[12 * TYPE long];
 
}
 
// 导出函数
 
ALCDECL My_VerQueryValueA(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[13 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerQueryValueA")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[13 * TYPE long];
 
}
 
// 导出函数
 
ALCDECL My_VerQueryValueW(void)
 
{
 
        // 保存返回地址
 
        __asm POP g_dwReturn[14 * TYPE long];
 

        // 调用原始函数
 
        GetAddress("VerQueryValueW")();
 

        // 转跳到返回地址
 
        __asm JMP g_dwReturn[14 * TYPE long];
 
}


 

 

125096
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL函数查看,一键劫持源码~支持64DLL
06-02
@丶lc。Tags:DLL函数查看。
一种通用DLL劫持技术研究
anhkgg的专栏
09-27 349
通用DLL劫持技术研究 by anhkgg 2018年11月29日 写在前面 Dll劫持相信大家都不陌生,理论就不多说了。Dll劫持的目的一般都是为了自己的dll模块能够在别人进程中运行,然后做些不可描述的事情。 为了让别人的程序能够正常运行,通常都需要在自己的dll中导出和劫持的目标dll相同的函数接口,然后在自己的接口函数中调用原始dll的函数,如此使得原始dll的功能能够正常被使用。导出...
易语言-dll函数查看器3.2
04-08
dll函数查看器3.2 (易语言编写会报毒) 如果你搜到,那么你懂得..
[转载]DLL劫持生成器 源码开放(纯WINDOWS SDK)+ 实例分析
weixin_34043301的博客
03-19 2169
 本菜最近学习了什么DLL注入啊,hook啊(r3)的相关技术,觉得很好玩,于是深入发现还有DLL劫持这种东西觉得挺好玩的,加上最近看到各种木马分析报告中都还有发现有利用白加黑的现象。于是自己想找几个来玩玩,但是一个一个手动测试麻烦啊,于是想写个工具来测试目标是否存在DLL劫持漏洞的可能,于是就产生了写个工具的想法,上网一看,原来十年前都有大神写出来了,不过感觉有点麻烦,好多选项不知道干嘛的,加上...
[DLL劫持] 2 DLL劫持DLL基础(2)
智者千虑 必有一失
07-01 1285
该系列文章是依据本人平时对动态链接库的学习,归纳总结,所做的学习笔记。如有错误或待改善之处,请留下您宝贵的意见或建议。   以下讲的是DLLDllMain。   Windows在加载DLL的时候,需要一个入口函数,就如同控制台或DOS程序需要main函数、WIN32程序需要WinMain函数一样。在前面的例子中,DLL并没有提供DllMain函数,应用工程也能成功引用DLL,这是因为Wi
dll劫持工具.zip
10-05
dll劫持验证工具
易语言-易语言DLL劫持
06-25
以一个D3D为例子,表现DLL劫持 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境...
DLL劫持生成软件
08-24
DLL劫持生成软件
dll劫持payload.dll弹出计算器
03-18
dll劫持payload.dll弹出计算器
易语言DLL劫持生成工具2.0 支持查看x86/x64函数
06-02
1、增加多层劫持劫持对象启动新程序继续劫持,如果你劫持了A程序如果A程序启动了B程序会继续劫持,B程序启动了C,D程序同样会劫持,无限扩展。2、增加格式化函数,使用特定格式导出函数在导出后使用名称格式化按钮...
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64位 APIHook
DLL函数查看器(DLL+Export+Viewer),支持64DLL查看顺.zip
01-08
DLL函数查看器(DLL+Export+Viewer),支持64DLL查看顺.zip
易语言-DLL函数查看,一键劫持源码~支持64DLL
06-25
易语言-DLL函数查看,一键劫持源码~支持64DLL
DLL劫持技术研究
不忘初心,护天下安全!
06-01 436
DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。 在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件。Windows操作系统通过“DLL路径搜索目录顺序”和“Know DLLs注册表项”的机制来确定应用程序所要调用的DLL的路径,之后,应用程序就将DLL载入了自己的内存空间,执行相应的函数功能。DLL路径搜索目录顺序1.程序所在目录2.程序加载目录(SetCurrentDirectory
c++ windows获得当前工作目录文件_通过模拟可信目录绕过UAC的利用分析
weixin_39848097的博客
11-27 283
0x00 前言从@CE2Wells的博客学到的一个技巧,通过模拟可信目录能够绕过UAC,本文将对结合自己的经验对这个方法进行介绍,添加自己的理解,分享测试中的细节。文章地址:https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e0x01 简介· 原理介绍·实现细节...
version.dll劫持注入模版
Cosmopolitan的博客
06-15 2622
// dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: {
【C/C++】劫持技术
linchaolong的专栏
02-28 7891
劫持 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。 函数是放在内存中的代码区,所以劫持与代码区密切相关。 实现劫持需要使用detours。 detours detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。 detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系
DLL补丁劫持制作
chengman3837的博客
04-21 497
DLL: 由于输入表中只包含 DLL 名而没有它的路径名,因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL,如果没找到,则在Windows 系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的 DLL,提供同样的输出...
通过中转DLL函数实现DLL劫持
CSDN
09-22 5901
当我们运行程序时,一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库,在进程未被创建之前Ntdll.dll库就被默认加载了,三环下任何对其劫持都是无效的,除了该Dll外,其他的Dll都是在程序运行时,在输入表中查找到对应关系后才会被装载到内存中的,理论上来说对除NtDll以外的其他库都是可操作的。编译main.cpp 动态加载函数,将lyshark.dll放入同一个目录下即可,程序运行后会动态调用DLL中的导出函数。默认会生成如下样子,直接在里面加上一个弹窗,然后编译DLL
易语言编写dll劫持补丁
最新发布
09-17
易语言是一种简单易学的编程语言,可以用来编写Windows下的应用程序。在编写dll劫持补丁时,可以使用易语言来实现。 首先,dll劫持是指通过修改被劫持的进程加载的dll路径或名称,使其加载恶意的dll文件。编写dll劫持补丁实际上是为了修复这个漏洞,使被劫持的进程加载正确的dll文件。 在易语言中,可以使用WinAPI函数来完成这个任务。首先,需要用到的函数有以下几个:LoadLibrary函数,用于加载dll文件;GetModuleFileName函数,用于获取正在运行的进程模块的文件名;GetWindowsDirectory函数,用于获取Windows目录;GetProcAddress函数,用于获取函数地址;SetWindowText函数,用于设置窗口文本。 具体的步骤如下: 1. 使用GetModuleFileName函数获取当前运行的进程的文件名; 2. 使用GetWindowsDirectory函数获取Windows目录; 3. 使用SetWindowText函数设置窗口文本,提示正在修复dll劫持; 4. 使用LoadLibrary函数加载正确的dll文件; 5. 使用GetProcAddress函数获取正确的函数地址; 6. 修改被劫持的函数指针为正确的地址; 7. 修复完成后,使用SetWindowText函数恢复窗口文本。 以上就是使用易语言编写dll劫持补丁的基本思路和步骤。需要注意的是,这只是一种简单的办法,不能解决所有的dll劫持问题,对于复杂的劫持行为可能需要使用其他更底层的编程语言和技术进行修复。同时,在使用这种修复方法时,也要遵循法律法规,确保程序的合法性和正当性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值