[DLL劫持] 3 DLL劫持之实践 例子

最新推荐文章于 2024-06-28 08:01:16 发布
最新推荐文章于 2024-06-28 08:01:16 发布
阅读量4.6k 收藏 5
点赞数
分类专栏: Windows 文章标签: DLL DLL劫持 代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010311064/article/details/37728715
版权

该系列文章是依据本人平时对动态链接库的学习,归纳总结,所做的学习笔记。如有错误或待改善之处,请留下您宝贵的意见或建议。

 

先说说DLL劫持的原理吧,以下这段来自百度百科对DLL劫持原理的说明:


由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。

利用这种方法取得控制权后,可以对主程序进行补丁。此种方法只对除kernel32.dllntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dllsxs.dll,这些DLL都可被劫持。

伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。

这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。

一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。


下面就通过一个简单的例子,来实现一下DLL劫持:


1.    生成原始的DLL

创建一个dllTest工程,添加lib.hlib.cpp文件:

Lib.h

#ifndef LIB_H
#define LIB_H

extern "C" int __declspec(dllexport)add(int x, int y);
#endif

Lib.cpp

#include "lib.h"

int add(int x, int y){
	return x + y;
}

编译生成dllTest.dll


2.    编写应用程序(采用动态加载方式)

新建工程dllcall,添加文件dllcall.cpp,修改调用目录,生成,测试,ok

(隐式方式:使用原来的.lib文件,使用之后的dll

Dllcall.cpp

// dllCall.cpp : 以显式方式调用DLL
#include <stdio.h>
#include "windows.h"
typedef int ( * lpAddFun)(int,int);
	
int main(int argc, char* argv[])
{
    HINSTANCE hDll;   //DLL句柄	
	lpAddFun addFun;  //函数指针
    hDll = LoadLibrary("..\\Release\\dllTest.dll");
	if (hDll != NULL)
	{
		addFun = (lpAddFun)GetProcAddress(hDll,"add");	
		if(addFun!=NULL)
		{
		    int result =  addFun(2,3);    
			printf("%d",result);
		}
		FreeLibrary(hDll);
	}	
	system("pause");
	return 0;
}

3.      使用AheadLib反编译DLL

使用工具AheadLib.exe,反编译dllTest.dll,生成dllTest.cpp,新建dll工程,编译该cpp,生成第二个dllTest.dll

DllText.cpp

// 头文件
#include <Windows.h>
// 导出函数
#pragma comment(linker, "/EXPORT:add=_AheadLib_add,@1")
	
// 宏定义
#define EXTERNC extern "C"
#define NAKED __declspec(naked)
#define EXPORT __declspec(dllexport)
#define ALCPP EXPORT NAKED
#define ALSTD EXTERNC EXPORT NAKED void __stdcall
#define ALCFAST EXTERNC EXPORT NAKED void __fastcall
#define ALCDECL EXTERNC NAKED void __cdecl
// Hook 命名空间
namespace Hook
{
	HHOOK m_hHook;
	// HOOK 句柄
	// HOOK 函数
	LRESULT CALLBACK HookProc(INT iCode, WPARAM wParam, LPARAM lParam)
	{
		if (iCode > 0)
		{
			;
		}

		return CallNextHookEx(m_hHook, iCode, wParam, lParam);
	}
	// Hook
	inline BOOL WINAPI Hook(INT iHookId = WH_CALLWNDPROC)
	{
		m_hHook = SetWindowsHookEx(iHookId, HookProc, NULL, GetCurrentThreadId());
		return (m_hHook != NULL);
	}
	// Unhook
	inline VOID WINAPI Unhook()
	{
		if (m_hHook)
		{
			UnhookWindowsHookEx(m_hHook);
		}
	}
}
// AheadLib 命名空间
namespace AheadLib
{
	HMODULE m_hModule = NULL;	// 原始模块句柄
	DWORD m_dwReturn[1] = {0};	// 原始函数返回地址
	// 加载原始模块
	inline BOOL WINAPI Load()
	{
		TCHAR tzPath[MAX_PATH];
		TCHAR tzTemp[MAX_PATH * 2];

		lstrcpy(tzPath, TEXT("dllTestOrg"));
		
		///这一句是为了证明我的ws2_32.dll能被执行
		MessageBox(NULL, tzPath, TEXT("DLL Path"), MB_ICONSTOP);
		
		m_hModule = LoadLibrary(tzPath);
		if (m_hModule == NULL)
		{
			wsprintf(tzTemp, TEXT("无法加载 %s,程序无法正常运行。"), tzPath);
			MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
		}

		return (m_hModule != NULL);	
	}	
	// 释放原始模块
	inline VOID WINAPI Free()
	{
		if (m_hModule)
		{
			FreeLibrary(m_hModule);
		}
	}
	// 获取原始函数地址
	FARPROC WINAPI GetAddress(PCSTR pszProcName)
	{
		FARPROC fpAddress;
		CHAR szProcName[16];
		TCHAR tzTemp[MAX_PATH];

		if (m_hModule == NULL)
		{
			if (Load() == FALSE)
			{
				ExitProcess(-1);
			}
		}
		fpAddress = GetProcAddress(m_hModule, pszProcName);
		if (fpAddress == NULL)
		{
			if (HIWORD(pszProcName) == 0)
			{
				wsprintf(szProcName, "%d", pszProcName);
				pszProcName = szProcName;
			}

			wsprintf(tzTemp, TEXT("无法找到函数 %hs,程序无法正常运行。"), pszProcName);
			MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
			ExitProcess(-2);
		}

		return fpAddress;
	}
}
using namespace AheadLib;
// 入口函数
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
	if (dwReason == DLL_PROCESS_ATTACH)
	{
		DisableThreadLibraryCalls(hModule);

		Hook::Hook();
	}
	else if (dwReason == DLL_PROCESS_DETACH)
	{
		Free();		Hook::Unhook();
	}
	return TRUE;
}
// 导出函数
ALCDECL AheadLib_add(void)
{
	GetAddress("add");
	__asm JMP EAX;
}

重新使用之前的应用程序测试

将第二个自己生成的dll替代原来的dll,将原来的dll名改成dllTestOrg.dll,放入相应的目录,测试,OK

5.    Dll劫持成功

 

 附件:

AheadLib.exe的下载地址:http://download.csdn.net/detail/u010311064/7626887

本文的所有代码下载地址:http://download.csdn.net/detail/u010311064/7626907



KevinIsSoCool
关注
专栏目录
DLL劫持示例程序:EXE+DLL
07-03
1. 这是本人编写的DLL劫持演示程序,整个解决方案中包含三个工程:EXE主调程序、DLL被调程序、DLL劫持程序。 2. 本解决方案是基于VS2005开发的。
dll劫持代码演示
Anansi的博客
05-14 1204
DLL文件 在说dll劫持之前,我觉得有必要先说明一下dll文件的用途,dll文件是windows下的动态链接库文件,通常情况下,我们的应用程序并不是将所有的代码内容都生成为一个exe可执行文件的,开发者会将部分内容编译打包成一个后缀为.dll的库文件,这样做就我所知有三大好处: 应用程序本体体积会很小。 不同程序间可共享一个库文件。 可以增强程序的可扩展性。 介于这些好处,微软本身也是鼓励动态库文件的使用,当然,他也有一个缺点,那就是每次发布程序,都要讲这些dll文件打包与应用程序放在同一目录下发布,
DLL劫持技术权限提升及防范
最新发布
Ms08067安全实验室
06-28 876
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》扫描二维码五折购书DLL劫持技术权限提升及防范 Dll劫持原理介绍 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是一种文件类型。在程序运行中,可能会需要一些相对独立的动态链接库,而这些预先放置在系统中的动态链接库文件。当我们执行某一个程序时,相应的DLL文件就会被调用。DLL 是一...
DLL劫持案例——反弹shell
渗透测试
09-02 668
目标,对一个录屏软件进行dll劫持
Dll劫持
weixin_41204880的博客
07-27 286
** 1、 dll文件是什么? ** DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windo
DLL劫持技术例子: HijackDll
weixin_30929011的博客
07-27 232
DLL劫持技术例子: HijackDll 控制台程序:DllLoader Dll加载器,用于动态加载目标Dll,并动态调用目标函数 1 #include <cstdio> 2 #include <windows.h> 3...
DLLjiechi.zip_delphi 网络_dll_dll劫持_挟持源码
09-22
DLL劫持,又称为DLL挟持,是一种常见的黑客攻击手段,通过篡改程序对DLL的加载顺序或路径,使得恶意的DLL文件得以执行,从而达到控制或监视系统的目的。本篇文章将深入探讨DLL劫持的概念、原理,并结合Delphi编程...
version.dll 劫持代码
01-08
**version.dll 劫持代码详解** 在Windows操作系统中,`version.dll` 是一个系统级的动态链接库,主要用于处理应用程序的版本信息。它包含了读取和验证PE(Portable Executable)文件版本资源的函数。然而,有些...
开启WIN7的DLL劫持支持+各种系统DLL劫持模板源码-易语言
06-12
《深入理解Windows DLL劫持与实战》 DLL(动态链接库)是Windows操作系统中的一个重要组成部分,它允许多个程序共享同一段代码和数据,从而节省内存并简化软件开发。然而,DLL劫持是一种利用Windows加载DLL机制的...
dll劫持工具.zip
10-05
DLL劫持DLL Hijacking)是一种在Windows操作系统中利用动态链接库加载机制的安全漏洞进行攻击的技术。DLL文件是Windows系统和应用程序中广泛使用的组件,它们包含可重用的代码和数据,供多个程序共享。当一个程序...
x64 version.dll 劫持代码
04-25
在IT领域,尤其是系统安全和逆向工程中,“dll劫持”是一个常见的概念。这篇讨论主要聚焦于在C++环境下,针对x64架构的`version.dll`的劫持代码。`version.dll`是Windows操作系统中用于处理应用程序版本信息的动态...
DLL劫持C++源代码创建器
03-21
本工具自动创建用于进行DLL劫持的C++源代码。选择你正在运行的应用程序,选择应用程序加载的DLL,本工具为你创建一个用户劫持DLL的源代码代码中有详细的指导,按照指导去配置你的VS,马上编译一个用来劫持DLL。马上下载下来试试吧。如何创建这个工具,请查看软件的帮助。
DLL 劫持技术(内存补丁技术)
11-24
在逆向工程中,经常需要改变程序原有的执行流程,使其增加或者减少一些功能代码,这就需要对原文件进行补丁。补丁分文件补丁和内存补丁两种。文件补丁就是修改文件本身某个数据,达到一劳永逸的效果。顾名思义,内存补丁是在内存中打补丁、修改,确切地说,是对正在运行的程序的数据进行修改,以达到某种效果。
【C#源代码】PC微信 DLL劫持C语言源代码创建器
04-02
DLL劫持技术,是一个被微软公司封印了的超强注入技术。如果DLL劫持设计不合理,被注入之后,程序在调用原被劫持DLL的时候,将出现问题。使用这个工具,可以帮你自动创建你要劫持DLL,并且在程序调用原系统DLL的时候,依然正常工作,毫无影响。
C#,Asp.net发布后的dll文件反编译
07-01
如果你需要查看一个C#编译过后的dll文件的源代码,可以使用该工具,asp.net网站发布后的dll文件可以使用该工具查看到程序里的源代码
AheadLib_lucky_789修改版
07-03
导出函数表
深入解析DLL劫持漏洞
weixin_33910759的博客
03-08 1683
xlab · 2016/03/01 12:31Author:Wins0n0x00 DLL劫持漏洞介绍0.1 漏洞简介如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。这就是所谓的DLL劫持。在Windows XP...
C语言/C+游戏编程学习之简单 DLL 劫持,就是这么任性
maomibiancheng的博客
05-25 1060
C语言面向过程编程的语言;C++面向对象编程的语言。两者有本质的区别,其实是完全不同的两种语言,只不过C++兼容C语言而已。其中C++则一般看作是对C语言的扩展。因为C语言没有面向对象的语法结构,而当时业界又迫切需要面向对象的编程特性,所以贝尔实验室的开发者就为C语言添加了面向对象的结构。现在C++已经不只是C语言的扩展了,它已经完全可以被看作一种新的编程语言。虽然C语言的特性以及库函数仍然被C+...
[DLL劫持] 1 DLL劫持DLL基础(1)
智者千虑 必有一失
06-29 2975
该系列文章是依据本人平时对动态链接库的学习,归纳总结,所做的学习笔记。如有错误或待改善之处,请留下您宝贵的意见或建议。   最近在研究逆向工程的相关知识,主要用到的是C++逆向,工具有IDA和OLLYDBG等,学了有一段时间了,一直苦于总结能力不够,不知道逆向的东西该怎么总结,所以一直都没有总结之。这其中有用到DLL劫持技术的,觉得这个易于总结,所以先写几篇文章总结一下DLL劫持的技术吧。刚入
揭示DLL劫持攻击原理与历史案例
DLL劫持是一种恶意攻击手段,其核心原理是通过欺骗计算机系统,将恶意的DLL(动态链接库)文件伪装成系统或常用软件所需的合法动态链接库。攻击者利用Windows系统的搜索机制,当软件在本地目录中查找所需动态链接库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值