导出当前进程加载的dll

最新推荐文章于 2023-03-20 16:12:03 发布
最新推荐文章于 2023-03-20 16:12:03 发布
阅读量274 收藏 1
点赞数
分类专栏: 自研小工具 文章标签: dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/114974607
版权

运行程序输入进程pid
在这里插入图片描述

import winreg
import psutil  # pip install psutil
import logging

logging.basicConfig(format='%(asctime)s - %(pathname)s[line:%(lineno)d] - %(levelname)s: %(message)s',
                    level=logging.DEBUG)
"""
要分析一个应用程序是否存在劫持系统DLL的漏洞,需要这么几个步骤:

1.启动应用程序
2.使用Process Explorer等类似软件查看该应用程序启动后加载的动态链接库。
3.从该应用程序已经加载的DLL列表中,查找在上述“KnownDLLs注册表项”中不存在的DLL。
4.编写第三步中获取到的DLL的劫持DLL。
5.将编写好的劫持DLL放到该应用程序目录下,重新启动该应用程序,检测是否劫持成功。

https://www.dyxmq.cn/program/code/python/python-regedit-winreg.html
https://www.nhooo.com/note/qa0qxl.html
https://www.freebuf.com/articles/78807.html
winreg使用文档:https://docs.python.org/zh-cn/3.6/library/winreg.html#functions
"""


# Windows系统中默认情况下的KnownDLLs注册表
def get_knownDLLs_list():
    """
    微软为了更进一步的防御系统的DLL被劫持,将一些容易被劫持的系统DLL写进了一个注册表项中,那么凡是此项下的DLL文件就会被禁止从EXE自身所在的目录下调用,而只能从系统目录即SYSTEM32目录下调用。注册表路径如下:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
    :return: knownDLLs_list
    """
    knownDLLs_list = []
    # handle = winreg.ConnectRegistry(None, winreg.HKEY_LOCAL_MACHINE)  # 连接到注册表
    access_key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE,
                                r"SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs")  # 访问注册表
    try:
        print("-----get process dll-----")
        i = 0
        while True:
            key_name, value_name, key_type = winreg.EnumValue(access_key, i)  # 枚举所有的value,有三个返回值:键值名,键值,键类型
            i += 1
            # print(f"key_name:{key_name} value_name:{value_name} key_type:{key_type}")
            knownDLLs_list.append(value_name)

    except Exception as e:
        pass
    return knownDLLs_list


# https://pypi.org/project/psutil/
# 根据pid获取进程名和加载的dll库
def get_process_dll(pid):
    process_dll_dict = {}
    try:
        p = psutil.Process(
            pid=pid)  # psutil.Process(pid=17364, name='QQMusic.exe', status='running', started='11:54:41')
        logging.info(p)
        for dll in p.memory_maps():
            path = dll.path
            if path.endswith('.exe'):  # 进程名
                process_name = path.split("\\")[-1]
                process_dll_dict["process_name"] = process_name
                print("process_name:", process_name, "||", "process_pid:", pid)
            if path.endswith('.dll'):  # 进程加载的所有dll库

                process_dll_dict[path.split("\\")[-1]] = path
    except psutil.NoSuchProcess:
        logging.warning(f"no process found with pid {pid}")
    return process_dll_dict


# 从该应用程序已经加载的DLL列表中,查找在上述“KnownDLLs注册表项”中不存在的DLL

def attack_dll():
    """
    找到存在预加载漏洞的dll列表
    :return: dll_all
    """
    dll_all = {}
    knownDLLs_list = get_knownDLLs_list()
    process_dll_dict = get_process_dll(int(input("请输入程序pid:")))    #
    if not process_dll_dict: return
    for k, v in process_dll_dict.items():
        # 判断程序加载的dll 不在KnownDLLs注册表项中
        if k.upper() not in [knownDLL.upper() for knownDLL in knownDLLs_list]:
            dll_all[k] = v
            print(v)
    return dll_all


attack_dll()



"""
taskkill /F /IM notepad.exe  终止进程
"""
多学点技术
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
代码(查看windows进程信息和检索加载某个dll进程)
11-29
这是一份实例代码(demo),目的是演示如何在程序中查询进程信息,以及检索加载某个dll进程。 这可能是分析木马行为的必备工具。 ProcessViewer是一个类似的工具,网上可以下载到它的源码。但是对于只是演示如何查询进程信息而言,那份代码就有点复杂了。
C++ DLL 导出类 示例
12-08
虽然示例可能使用静态链接方式,但也可以选择在运行时使用`LoadLibrary`和`GetProcAddress`函数动态加载DLL及其函数,这提供了更大的灵活性,但也增加了复杂性。 总之,理解C++ DLL导出类和调用机制是Windows...
使用Process Explorer查看程序加载dll
stars的博客
05-02 3754
打开process explorer,点击选中你要查看的程序,然后点击菜单栏的【view】——》【lower pane view】——》选中【DLLs】 选中之后程序下面会列出DLL名称
Windows提取进程加载DLL同目录下的其他文件
zjx_cfbx的博客
09-03 533
现在有如下需求:有一个文件Example.exe放在加载进程的一个kernel.dll的同级目录下,现在要获取该Example.exe的文件路径,程序如下所示: BOOL __getOtherFilePath() { HINSTANCE hr; WCHAR ExampleFileName[] = L"\\ExmapleDemo.exe"; WCHAR ExampleFilePath[M...
系统进程管理工具Process Explorer
shanyou的专栏
11-22 1092
系统进程往往是不少读者操作的“禁区”,其实借助一些功能强大的工具即可消除对该禁区的恐惧。Process Explorer就是一款系统进程管理工具,它不仅能方便地查看各种系统进程,且能查看在后台执行的处理程序,尤其值得称道的是Process Explorer可方便地终止包括系统关键进程在内的任何进程并可替代系统自带的任务管理器。Process Explorer 可显示有关进程已打开或加载
Process Explorer使用图文教程
BUse的博客
04-08 2357
这是一款由Sysinternals开发的Windows系统和应用程序监视工具,目前Sysinternals已经被微软收购,此款不仅结合了文件监视和注册表监视两个工具的功能,还增加了多项重要的增强功能,此工具支持64位Windows系统 很多人可能把这款工具只当成TaskManager(任务管理器)的替代品,其实这样只能说是高射炮打蚊子,大材小用了,作为windows开发工程师,我极力推荐在编码和调试过程中使用此工具,下面介绍一下Process Explorer在开发过程中的用处。 一、Proce..
c++获取进程信息列表和进程所调用的dll列表
09-04
另外,`LoadLibrary`和`GetProcAddress`函数通常用于动态加载DLL和获取DLL中的导出函数,但在这里并不直接涉及。 `EnumProcesses`函数可以获取当前系统中运行的所有进程进程ID数组。通过遍历这个数组,我们可以对...
内存加载DLL运行
11-16
内存加载DLL(Dynamic Link Library)运行是一种编程技术,主要用于在程序运行时动态地将DLL文件加载到内存中,而不是在程序启动时静态链接。这种方式有多种应用场景,例如节省资源、实现插件系统、代码更新等。DLL...
完美的内存中加载DLL支持32位和64位DLL
02-20
- **LoadLibrary** 和 **GetProcAddress**:这是Windows API提供的两个关键函数,用于在内存中加载DLL并获取其导出函数的地址。在不使用传统文件系统路径的情况下加载DLL,就需要自定义实现这两个函数的功能。 - *...
Process Exporler
12-26
一个简单实用的处理器及进程监管软件 适用于windows操作系统
ProcessExp
06-01
调试,查看windows平台进程的好工具,可以看到进程调用了那些dll
电脑技巧:进程管理工具Process Explorer介绍
IT技术分享社区
11-02 6003
Process Explorer本来是Sysinternals的产品,已经被微软收购,成为了微软旗下进程管理的神兵利器,可以把它当作微软任务管理器的增强工具。大家可以到微软的官方网站去下载Process Explorer。它属于免安装软件,解压后直接运行即可。
导出DLL的两种方式__declspec(dllexport)以及def文件
Lianhaiyan_zero的博客
03-20 1430
dll导出方式记录
通过process-explorer查询运行程序加载dll
残花织梦的博客
01-10 806
1、下载链接 2、右键管理员启动
通过process-explorer查询运行程序加载dll
jangdong的专栏
07-04 6637
1、去微软下载此工具https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer2、右键管理员启动3、点击你要查看的进程
linux的strace命令
无界编程
03-21 9287
linux的strace命令strace 命令是一种强大的工具,它能够显示所有由用户空间程序发出的系统调用。   strace 显示这些调用的参数并返回符号形式的值。strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核。   下面记录几个常用 option .   1 -f -F选项告诉strace同时跟踪fork和vfork出来的进程   2 -o xxx.txt 输出到某个文件。
又发现process explorer一妙用
weixin_34342578的博客
11-03 130
你经常碰到某些文件或者文件夹因为被某些烂的程序抓着句柄不放而无法删除么? 那么你可以在process explorer里用鼠标选中该程序,然后点工具栏上的View DLLs,下面会出现进程DLL列表,那个工具栏按钮变成View Handles,你再点它一下,下面就会变成进程里的句柄列表,然后点工具栏的搜索按钮,搜索你的目录或者文件名,找到该句柄,右键close之,冷笑一声,就可以删除了。 ...
从内存加载dll 易语言
最新发布
05-17
内存加载dll是将一个动态链接库(dll)的代码和数据直接加载当前进程的内存中运行,而不是通过硬盘上的dll文件来运行。内存加载dll通常用于提高程序的执行速度和安全性,因为加载dll时不需要频繁的磁盘访问,也...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值