另类加载dll---快捷方式启动参数

最新推荐文章于 2023-11-09 11:46:51 发布
最新推荐文章于 2023-11-09 11:46:51 发布
阅读量309 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/nightnine/p/4970214.html
版权

http://blogs.360.cn/360safe/2014/08/29/cnc_trojan_and_fake_proto/

原文:

BMP1和BMP2是两个lnk文件(快捷方式),我们知道bmp的图片是隐藏的,gldata连扩展名都没有,dll文件虽然是可执行程序,但双击也是没用的。所以用户自然会在如此精心的安排下点击这两个lnk文件。其中BMP2主要功能是将病毒主题添加到系统自启动,命令行如下:

C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32

BMP1其实很简单,一个快捷方式而已,他要解决的问题其实只有一个——整个病毒里没有exe文件,而dll文件又不能直接自己运行。所以这个快捷方式的唯一作用就是调用系统的rundll32去执行dll文件:

C:\WINDOWS\system32\rundll32.exe logmain.dll,gbrztmip

-----------------------------------------------------------------------------------------------------

另类加载dll,也就是快捷方式,启动参数

“C:\WINDOWS\system32\rundll32.exe” advpack.dll,LaunchINFSectionEx %appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32

启动rundll32.exe程序加载advpack.dll执行dll中的LaunchINFSectionEx函数,%appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32为函数参数

“C:\WINDOWS\system32\rundll32.exe” logmain.dll,gbrztmip

启动rundll32.exe程序加载logmain.dll执行dll中的gbrztmip函数

转载于:https://www.cnblogs.com/nightnine/p/4970214.html

weixin_30556161
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Qt开发经验总结
草上爬的博客
12-02 8101
增加了很多轮子,同时原有模块拆分的也更细致,估计为了方便拓展个管理。把一些过度封装的东西移除了(比如同样的功能有多个函数),保证了只有一个函数执行该功能。把一些Qt5中兼容Qt4的方法废弃了,必须用Qt5中对应的新的函数。跟随时代脚步,增加了不少新特性以满足日益增长的客户需求。对某些模块和类型及处理进行了革命性的重写,运行效率提高不少。有参数类型的变化,比如 long * 到 qintptr * 等,更加适应后续的拓展以及同时对32 64位不同系统的兼容。
阻止反外挂GPK/sys加载思路
暗组-萬歲
07-20 4733
思路建议: sys 驱动加载之前,要 CreateService ,试试拦截这个api?或者更底层? 不重启的话,Hook ZwLoadDriver,ZwSetSysteminformation基本就差不多了createservice,zwloaddriver,zwsetsyst
获得程序启动参数--VC++,DLL,API
10-18
功能很简单,就是得到其他程序的启动参数,只是一个DLL文件,如何使用,先下载我的Dll注入工具,再用它吧!
另类调用DLL
weixin_30508309的博客
10-04 62
WllibCall.incstdcall;{$IFNDEF DLLWLLib}external 'wllib.dll';{$ENDIF} ...... function Cpl(PSrc: PChar; len: integer; PDest: PChar): PChar; {$I 'WllibCall.inc'} 转载于:https://www.cnblogs.com/hnxxcxg/arc...
加载dll方法
linlianghui2004的专栏
02-25 829
 非COM  1.包含dll的头文件      2用导入lib隐式加载(包括两种方式)       2-1   #progma   comment(lib,   "xxx.lib")       2-2   在project菜单项的link中直接添加lib         注意,第二种方法也要确保dll文件在系统可以搜索到的目录中,比如       当前目录或者windows的system32
创建快捷方式DLL(CreateLink API DLL
01-01
如果你被windows没有API创建快捷方式给吓怕了,这个名叫 CreateLink API 的API拓展库绝对让你兴奋! 它可以允许你一句话 CreateLink("目标","输出"); 创建快捷方式!!! 标记为STATIC为静态链接MFC版 标记为ShareMfcDll为共享MfcDll版 --VC / Visual C++--
调用DLL的方式
最新发布
u012983289的博客
11-09 756
即通过 程序中引入*.h, 链接库中链接 *.lib 并附加对于目录, 再把相应的 *.dll 放到程序的exe同级目录下,然后实现对*.h中的各函数方法的调用。即通过LoadLibrary加载*.dll, 然后用GetProcAddress找到要调用的相关函数名称,再调用函数(此种方法不再需要对应的*.lib库)。2、动态调用 (无Lib库)1、静态调用(有Lib库)
利用输入法注入DLL
05-19
DLLhwnd = LoadLibrary("lpk.dll") '加载DLL DLLFunDre = GetProcAddress(DLLhwnd, "LpkDrawTextEx") '获取回调函数地址 LpkHooksInfo.lpHookProc_LpkTabbedTextOut = 0 LpkHooksInfo.lpHookProc_LpkPSMTextOut = 0...
Search and Replace in multiple files Add-in for Visual C++ 6
02-23
3. 使用:在IDE中,通过插件菜单启动搜索与替换功能,按照向导设置参数并执行。 五、源码学习价值 对于想要学习C++插件开发的开发者来说,这个项目具有很高的参考价值。它展示了如何利用MFC构建用户界面,如何调用...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5507
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Windows下vs中对DLL、exe文件添加属性信息
ShareProgress的博客
05-30 2317
Windows下给DLL或exe文件添加属性信息,版本号,版权等
Dll入口函数参数详解...
weixin_33806509的博客
06-13 1134
DLL程序入口点函数:DllMain,注意:大小写是区别的(仅导出资源的DLL可以没有DllMain函数)。 函数原型: BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ...
关于Windows应用程序加载DLL的总结
mmilmf的专栏
03-16 1877
0x00 背景 最近在开发项目上遇到一个奇怪的问题,项目使用到OPENSSL库,进行加密,某个DLL(A.DLL)对该库进行封装后调用。EXE对A.DLL采用动态链接的方式进行加载,调动里面的函数之后,使用FreeLibrary释放DLL。 结果竟然没有卸载掉该DLL。这就突破了我的认知了,我的见识里面所了解到的加载DLL方式包括两种: 隐式链接:程序运行时DLL被加载进来,等待程序结束之后,卸载加载的DLL。 动态链接:程序使用LoadLibaray(Ex)等函数加载DLL,到不需要时主要使用Fre
C#创建自启动和桌面快捷方式(IShellLink)纯代码无需调用dll
weixin_42288222的博客
04-13 2484
C#创建自启动和桌面快捷方式(IShellLink)纯代码无需调用dll
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值