逆向?又或者是编程知识——记录一次DLL无法加载的原因

最新推荐文章于 2024-01-24 16:10:00 发布
最新推荐文章于 2024-01-24 16:10:00 发布
阅读量569 收藏
点赞数
文章标签: 0xc0000005
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15059515/article/details/102692093
版权

续一下上一篇文章的故事。
今天朋友又来找我,说是极少部分Win7用户注入不了DLL,希望我看一下。

“极少部分win7用户注入不了DLL”,,,难道是因为他们系统ntdll线程特殊一点,不走ntdll!ZwTestAlert ?
不太可能,虽然win7有些版本有补丁,但不太可能影响到r3的ntdll。
抱着疑心我还是远程联系他那个用户,开x64dbg调试了看看。

嗯,ZwTestAlert上断下来了。Shellcode也正常走过去了。
问题来了,LdrLoadDll调用后返回值不是0而是0xc0000005

长话短说,中间怎么测出来的套路就不说了。

LdrLoadDll调用后返回0xc0000005的原因是缺少了环境库
让他把d3dx环境库装一下就可以了。

说到这里我又想到,不论是dll加载返回0xc0000005错误码还是exe执行弹出0xc0000005错误。应该都是缺了环境库。本质上还是dll(exe)的输入表里面用到的DLL找不到。
Windows加载器在加载模块时,会把输入表里面用到的DLL全部加载进来,找到所需的API地址后填写在输入表内。如果在当前目录和系统目录找不到所需DLL就返回这个0xc0000005错误码

Lixinist
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一、C++反作弊对抗实战 (基础篇 —— 6.利用LdrLoadDll远程线程注入DLL)
Koma的主页
03-02 1153
利用LdrLoadDll远程注入DLL(支持x32与x64)
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
DLL注入相关
kernweak的博客
06-02 568
DLL是通过问卷映射实现,只占一个内存空间,每个DLL收到一份映像,DLL之后系统页面文件明显变大,内存使用明显变大。 DLL引用分显示隐式 如果有lib+dll+头文件 则:建工程的时候选择导出符号 #pragma comment(lib, “libname.lib”) #include “libname.h” func(); 只有DLL文件 LoadLibrary Ge...
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2908
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
TLS 回调中挂钩 LdrLoadDll 实现监视模块过程
最新发布
溡漪幽博客
01-24 1131
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
逆向随笔——对可以过TP的注入驱动的一次逆向
Lixinist的博客
10-21 2332
前言: 逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。 今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。 正文: 接收过来压缩包,看了一下 loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。 先跑起来,看看线程和模块上有没有什么特别的地方 有一个线程P...
pe2-DLL.rar_Windows编程_Visual_C++_
08-11
《深入理解PE结构与DLL技术——基于Windows编程与Visual C++》 在Windows操作系统中,程序执行文件(Portable Executable, 简称PE)格式是核心组成部分,它定义了可执行文件、动态链接库(DLL)等的结构。本资料...
python中调用.c文件生成的so、dll文件(csdn)————程序.pdf
12-03
在Python中调用C语言编译的动态链接库(.dll on Windows, .so on Linux)是一种常见的跨语言编程技术,它允许我们利用C语言的高效性和Python的易用性相结合,以实现高性能的程序。本文将详细介绍如何在Python中调用C...
ff.rar_The Process_WriteProcessMemory_dll memory
09-19
标题 "ff.rar_The Process_WriteProcessMemory_dll memory" 涉及的是Windows API中的一个重要功能——WriteProcessMemory,以及它与DLL(动态链接库)内存操作的关联。WriteProcessMemory函数是系统级API,允许一个...
Reversing:逆向工程揭密
06-21
对软件而言,逆向工程归结起来就是拿一个既没有源代码又没有准确文献资料的现成程序,尝试恢复出它的设计和实现细节。在某些情况下,可以找到程序的源代码,但是找不到最初的开发人员了。本书所讨论的就是通常所说的...
dll动态链接库方法查看工具.zip
09-02
本工具——"dll动态链接库方法查看工具",专门针对C/C++/C#编程语言中的dll文件,提供了一个方便快捷的方法查看功能,帮助开发者更好地理解和使用dll文件。 一、dll动态链接库的原理与作用 DLL文件实质上是一段可...
64位Shellcode方式注入DLL
IT男也疯狂
07-18 728
挟持NTDLL的API进行的远程注入DLL,支持主动启动进程方式
实战dll注入(原理, 踩坑及排雷)
Niatruc的博客
08-22 3989
使用vs2019编写注入器程序, 在生成的注入器可用前, 踩了不少坑, 因此记录一下.
几个重要的函数
kwonsir的专栏
10-14 1892
几个重要的函数: [特别划来的几个底层函数很有用,有公开的、也有没公开的,有用就收起来] ±        NtQueryDirectoryFile±        在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。NTSTATUS NtQueryDirectoryFile(
APC,惨痛教训
哈哈 哈 哈哈,哈 哈 哈哈哈
06-20 214
LdrpInitialize会调ZwTestAlert!
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 340
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
LoadDll详解----衔接于上篇的DLL
For Geek
05-12 4001
根据我们上次所讲,其大概流程是差不多理清了,但是还有具体的一些细节和一个Tls的大头还没阐述,先把LoadDll的具体细节讲完,这里推荐大家去看毛德操先生的著作《内核情景分析》,这本书对ReactOS(一种也是基于NT的内核,但是不同于Windows,它是完全开源的)的解析入木三分,我读完这个DLL的装后大有所获,所以强烈推荐这本好书!!! 好了,接下来就是我们的正题了先复习下调用流程。 Ldr...
寻找SSDT表地址
09-04 265
#include"ntifs.h" #include"intsafe.h" #include"ntimage.h" #define out #define in ULONG_PTR dizhi_zwclose = 0; ULONG_PTR dizhi_KiServiceInternal = 0; ULONG_PTR dizhi_KiSystemServiceStart = 0; ULONG_P
Windows 软件安全---注入安全
MusicMan
07-17 1282
在Windows软件中,绝大多数软件都是exe文件,然后有很多动态链接库dll构成。所以很多黑客就可以通过dll注入的形式入侵软件,达到入侵甚至盗取密码的功能,接下来本人介绍一种方法,可以防止非法dll注入的一种方法,学识有限,如有不足,敬请指教。 介绍的方法是通过hook系统的ldrLoadDll方法,然后判断dll的名称,防止恶意dll注入。 原理如下: Inject Defense原理...
如何通过C++编程实现逆向softmax?
06-03
逆向softmax是一种将向量映射回一个概率分布的方法。在C++中,可以通过以下步骤来实现逆向softmax: 1. 首先,对于一个给定的向量v=[v1,v2,...,vn],计算其指数和exp_sum=∑(i=1,n) exp(vi)。 2. 然后,对于每个元素vi,计算其逆向softmax值p_i=exp(vi) / exp_sum。 3. 最后,将所有逆向softmax值p=[p1,p2,...,pn]组成的向量作为输出。 以下是一个简单的C++函数,用于计算逆向softmax: ``` #include <vector> #include <cmath> std::vector<double> inverse_softmax(const std::vector<double>& v) { std::vector<double> p(v.size()); double exp_sum = 0.0; for (auto vi : v) { exp_sum += std::exp(vi); } for (int i = 0; i < v.size(); i++) { p[i] = std::exp(v[i]) / exp_sum; } return p; } ``` 注意,这个函数假设输入向量v已经被标准化了(即,它们的和为1)。如果输入向量没有被标准化,需要在计算逆向softmax之前先进行标准化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值