DLL注入_修改导入表(1)

最新推荐文章于 2021-05-19 11:22:27 发布
最新推荐文章于 2021-05-19 11:22:27 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: Binary 文章标签: Binary 逆向 DLL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38232378/article/details/102990214
版权
PE文件分析
(一) 替换DLL函数

通过修改PE文件导入导出表来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。

(二) 环境

VC++ 6.0

为了减少复杂度,用VC++ 6.0编译sum.cpp sub.cpp生成sum.dll sub.dll,用dll_main.cpp静态链接sum.dll,要把dll_main程序中的sum.dll的函数换成sub.dll的函数,改成两数想减,代码如下:
程序: https://github.com/sv4us/binary/blob/master/dll分析.zip

sub.cpp

extern "C" _declspec(dllexport) int sub(int a,int b);
int sub(int a,int b)
{
   
	return a-b;
}

sum.cpp

extern "C" _declspec(dllexport) int sum(int a,int b);
int sum(int a,int b)
{
   
	return a+b;
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入_修改导入(2)
余韵
11-11 303
在内存中查看dll函数 (一) PE内存镜像分析 dll_main.exe NT_HEADERS = E8H IMAGE_BASE(memory) = NT_HEADERS -> IMAGE_OPTIONAL_HEADER32-> ImageBase (NT+34H) E8H + +34H = 11CH ,查看11CH的内容 Offset 0 1 2 3 ...
驱动开发实现修改导入注入dll
12-21
导入注入dll其实就是给程序的导入添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中修改导入
注入(二):修改导入(c++)
零点起步
04-14 1395
导入注入修改游戏EXE依赖dll树上找个结点,程序运行前加载,加载修改导入。  优:游戏依赖库多,不易用完整性来查验,同时客户端版本不同,更易躲过检测  缺点:文件操作明显,易被ProcessMonitor检测到 //BeModeImportTableExe.exe void main(void) { int i = 0; while(true) { __asm{ mo
修改导入实现DLL注入
01-17 4822
Code: [Copy to clipboard]   //// Copy from M
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
易语言DLL注入修改输入模块.rar
02-23
易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar
dll_charu.rar_CreateProcess_createprocess dll_creatprocess的dll
09-23
具体实现方式通常有两种:一种是通过修改PE(Portable Executable)文件头,将DLL的路径添加到进程的导入中;另一种是在`CreateProcess`的参数中,通过`lpStartupInfo`结构体的`lpEnvironment`字段传递自定义环境...
易语言注入DLL源码,易语言简单注入DLL
07-22
DLL注入是指将一个DLL文件加载到目标进程中,使得目标进程可以调用该DLL中的函数,而无需修改目标程序的原始代码。在易语言中实现DLL注入,开发者可以利用易语言的API调用功能,调用Windows操作系统提供的相关API...
dll注入Hook
11-08
2. **导入地址(IAT) Hook**:修改目标进程的IAT,使函数调用指向我们的Hook函数。 3. **原地替换 Hook**:直接在目标函数的机器码中插入跳转指令。 在DLL注入过程中,我们可能会选择Hook某些关键的系统函数,例如...
pe-inject 修改程序导入
04-02
编辑修改程序导入,增加自定义DLL PE-inject is a special library which allows developers to place their own code into Windows executable files (EXE, DLL, OCX and others). PE-inject was designed to be as simple as possible, to make modification of executables (so called PE-files) as easy as writing a "Hello world!" program. The knowledge of Assembler and Windows PE-EXE file format, which was essential before PE-inject came, is no longer required. To inject your code into foreign executables you only need to make a DLL file with functions you want to inject into PE file, call PE-inject function to place the DLL into the executable and the file is injected. From now on, everytime you run the executable, the injected code will be run first and after it finishes, the old application code will start. PE-inject doesn't need to write any data to harddrive, like some other solutions do. Therefore it can be also used for applications which require highest security, like PE-protection engines. From EXE password protectors, through PE compressors to PE anti-cracking protectors, everything is easy to implement. PE-inject has a really well designed interface, which allows you to use it for almost any purpose related with injection of code into PE-files. Even a virus-like code is possible!
输入注入
12-28
输入注入
易语言DLL注入修改输入模块
08-17
DLL注入修改输入模块源码,IAT注入,文本到字节,读取输入,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS_1,RtlMoveMemory_IMAGE_NT_HEADERS_2,RtlMoveMemory_IMAGE_IMPORT_DESCRIPTOR_1, 系统结构: IAT注入
修改导入载入DLL
白日梦
08-17 6693
关于修改EXE文件的导入,实际上是一个很古老的话题了(如果您是此中高手,请不要在这篇文章浪费时间了,如果您发现了其中的问题,还请多多指教).一些PE相关的软件,也都实现了这样的功能,例如Stud_PE.    Stud_PE通过添加一个新节并将导入连同添加的内容一并复制到新节的方法来实现对DLL导入.    使用这样的方法只要是PE格式的EXE文件,都可以实现导入DLL的功能,但此方法,实现
PE引入修改实战
03-21 2263
 用处当然不小,如果你喜欢做病毒的话,利用本文章讲述的方法,可以让你的病毒在WINDOWS下畅通无阻。 ;===========================================;名 称: PE引入修改实战;用 途:;语 言: TASM32;日 期: 2002年7月21日;备 注:; 引入部份的代码查阅了Iczelion网站上一些; 外国朋友的代码,虽然不知道他们是哪国人,不;
修改PE文件引入实现加载DLL
威化饼的一隅
04-08 2750
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL的加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入IDT、INT、IAT关系代码实现思路关键数据结构节IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
c语言References添加dll,c – 如何修改运行时加载的DLL导入地址
weixin_35661054的博客
05-19 259
我想在运行时挂钩从加载的DLL中调用的函数,我使用了“Windows Via C/C++”一书中的CAPIHook类(通过安装系统范围挂钩完成的DLL注入和通过修改IAT挂钩)但是这个只有在可执行文件的IAT中存在DLL名称/符号时,代码才有效. (即用于隐式DLL链接)这是DLL代码:CAPIHook::CAPIHook(PSTR pszCalleeModName,PSTR pszFuncNam...
Windows Ring3层注入——修改PE输入导入注入(一)
qq_38493448的博客
01-16 1143
Windows Ring3层注入——修改PE输入导入注入(一)PE文件简单介绍PE文件相关名词解释PE文件磁盘与内存映像结构图输入介绍输入结构输入注入原理PE输入注入的两种方法静态修改PE文件法:进程创建期修改PE输入法:输入注入核心代码示例 PE文件简单介绍 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SY...
注入技术——修改输入完成DLL注入
不忘初心,护天下安全!
05-09 1861
参考自《加密与解密》(第4版)第12章 注入技术 实验环境:Windows XP SP2 家庭版 实验素材:作者提供的MsgDLL.dll。此处的待注入DLL使用消息弹框来证明自己注入成功,实际中可以进行各种可怕又邪恶的动作。 修改对象:系统自带记事本 修改目标:记事本启动后,自动加载MsgDLL.dll DLL文件代码细节省略,通过使用MessageBox函数来显示消息框,仅此而已。关于...
DLL_PROCESS_ATTACH DLL_THREAD_ATTACH DLL_THREAD_DETACH DLL_PROCESS_DETACH
最新发布
05-24
这是关于动态链接库(DLL)的四个常量,分别DLL 的四个生命周期阶段: - DLL_PROCESS_ATTACH:该 DLL 被映射到进程空间时触发,DLL 正在被附加到进程中。 - DLL_THREAD_ATTACH:新线程创建时触发,DLL 正在被附加到线程中。 - DLL_THREAD_DETACH:线程结束时触发,DLL 正在从线程中卸载。 - DLL_PROCESS_DETACH:该 DLL 从进程空间中卸载时触发,DLL 正在从进程中卸载。 这些常量通常用于编写 DLL 的初始化和清理代码。当 DLL 被加载时,可以在 DLL_PROCESS_ATTACH 阶段执行初始化代码,而在 DLL_PROCESS_DETACH 阶段执行清理代码。同样地,可以在 DLL_THREAD_ATTACH 阶段执行线程特定的初始化代码,在 DLL_THREAD_DETACH 阶段执行清理代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值