驱动开发实现修改导入表注入dll

最新推荐文章于 2024-09-07 09:21:45 发布
最新推荐文章于 2024-09-07 09:21:45 发布
阅读量3.3k 收藏
点赞数 1
分类专栏: Windows驱动开发 文章标签: Windows驱动开发 驱动开发 dll注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaos_i/article/details/53779855
版权

导入表注入dll其实就是给程序的导入表添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。

我在驱动实现修改导入表的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中修改导入表。

修改导入表的过程如下:

1,申请一块内存,将原来的导入表和自己添加的项拷贝到这块内存。

2,修改pe头的导入表偏移,使其指向新导入表。

经过以上修改还不够,仍有部分程序不能正常运行,或不能成功注入dll。

原因如下:

1,程序有绑定导入表,就直接使用了,从而没有加载你的dll。解决办法就是清空绑定导入表。

2,有的编译器编译的程序没有IAT的偏移与大小,此时系统会检查导入表的范围,因为你申请的内存在pe范围之外,系统出错。所以解决方法就是自己填充IAT,使其指向原来的导入表位置。

3,另外,在修改pe时要去除写保护,此时需要修改先前模式。

代码见http://download.csdn.net/detail/uncia_me/9717160

uncia_me
关注
专栏目录
DLL注入_修改导入(1)
余韵
11-09 1466
PE文件分析 (一) 替换DLL函数 通过修改PE文件导入导出来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。 (二) 环境 VC++ 6.0 为了减少复杂度,用VC++ 6.0编译sum.cpp su...
DLL注入_修改导入(2)
余韵
11-11 336
在内存中查看dll函数 (一) PE内存镜像分析 dll_main.exe NT_HEADERS = E8H IMAGE_BASE(memory) = NT_HEADERS -> IMAGE_OPTIONAL_HEADER32-> ImageBase (NT+34H) E8H + +34H = 11CH ,查看11CH的内容 Offset 0 1 2 3 ...
一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码
kingswb的博客
05-21 5729
标 题: 【原创】一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码 作 者: oxlwj 时 间: 2011-09-11,10:43:53 链 接: http://bbs.pediy.com/showthread.php?t=139986 一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ 
Windows内核驱动DLL注入工具 - injdrv使用指南
最新发布
gitblog_00350的博客
09-07 577
Windows内核驱动DLL注入工具 - injdrv使用指南 项目地址:https://gitcode.com/gh_mirrors/in/injdrv 项目介绍 injdrv是一个基于GitHub的开源项目,由wbenny维护,致力于在Windows操作系统中实现DLL注入功能。此驱动程序利用内核模式下的技术,特别是通过PsSetLoadImageNotifyRoutine回调函数,在进程初始...
驱动dll注入源码
06-06
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流
驱动 进程回调中修改导入插入DLL (只做了一点儿修正不算原创)
落笔飞花笑百生的博客
04-27 895
 //虽然现在对很多程序的注入都一点儿问题 ,不过一般的程序还是能注入的 最好建议使用zwCreateThreadEX来注入 好处你懂的= =我修正了判断EXE名字 因为 直接用PsGetImageFileNmae 会获取名字不完整因为某结构中只保存了16 char的 内容 不同系统 还不一样= = 所有就用这个 还有就是 卸载驱动会蓝屏= =因为 系统在回调数组中找到了指向我们这里回调函数
易语言实现DLL注入 与 隐藏源码.zip
01-22
在易语言中实现DLL(动态链接库)的注入和隐藏源码是编程中较为高级的技术,常见于辅助编程和外挂编程领域。下面将详细解释这两个概念以及如何在易语言中实现它们。 1. DLL注入DLL注入是将一个动态链接库加载到...
python注入_Python——dll注入
weixin_39719732的博客
12-04 1005
dll攻击原理分析什么是dll动态链接库,是在微软Windows操作系统中实现共享函数库概念的一种方式。这些库函数的扩展名是 ”.dll"、".ocx"(包含ActiveX控制的库)或者 ".drv"(旧式的系统驱动程序)。为何有dll由于进程的地址空间是独立的(保护模式),当多个进程共享相同的库时,每个库都在硬盘和进程彼此的内存存放一份的话,对于早期的计算机来说,无疑是一种极大的浪费,于是win...
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1561
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
修改导入实现DLL注入
01-17 4848
Code: [Copy to clipboard]   //// Copy from M
python hook dll_Python——dll注入
weixin_39678493的博客
12-16 1300
dll攻击原理分析什么是dll动态链接库,是在微软Windows操作系统中实现共享函数库概念的一种方式。这些库函数的扩展名是 ”.dll"、".ocx"(包含ActiveX控制的库)或者 ".drv"(旧式的系统驱动程序)。为何有dll由于进程的地址空间是独立的(保护模式),当多个进程共享相同的库时,每个库都在硬盘和进程彼此的内存存放一份的话,对于早期的计算机来说,无疑是一种极大的浪费,于是win...
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
注入(5)---导入注入(HookINT)
weixin_33841722的博客
10-13 319
导入WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入DLL模块都有一个对应的导入,PE加载器会根据导入来加载进程需要的其他DLL模块。 导入的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
驱动注入内存dll
12-30
驱动注入内存dll,c++编写。欢迎下载研究
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动注入dll_驱动进程
07-15
非常稳定的驱动注入Dll到进程的程序,功能强大,兼容性强。
驱动DLL注入
07-13
工具精选中的极品,很好用的驱动,能注入许多驱动层的软件,如果你遇到有保护的了,可以尝试一下用本工具注入
修改导入载入DLL
白日梦
08-17 6763
关于修改EXE文件的导入,实际上是一个很古老的话题了(如果您是此中高手,请不要在这篇文章浪费时间了,如果您发现了其中的问题,还请多多指教).一些PE相关的软件,也都实现了这样的功能,例如Stud_PE.    Stud_PE通过添加一个新节并将导入连同添加的内容一并复制到新节的方法来实现DLL导入.    使用这样的方法只要是PE格式的EXE文件,都可以实现导入DLL的功能,但此方法,实现
驱动DLL注入源码
12-23
驱动DLL注入源码 没有什么好说的 ,超级强的源码
驱动注入dll(方法一)
08-15 3360
其实这个方法很简单,这里记录一下。 hook ntcreatethread就可以,其中有一个context结构,其中又有eax..... 返回用户态后,就从eax开始执行。报告完毕。 代码:nbboy.ys168.com下的代码例子calldll.rar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值