DLL的创建,调用与DLL劫持

最新推荐文章于 2022-08-22 17:51:52 发布
最新推荐文章于 2022-08-22 17:51:52 发布
阅读量3k 收藏 2
点赞数
文章标签: DLL劫持 dllexport def dll .lib
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcl168/article/details/18146119
版权
        DLL平时经常用到,不过没系统整理过,刚好最近在读<<计算机病毒揭秘与对抗>>,就做了些小例子,把关于DLL的部份整理了下.
内容包含下列几部份:
一。 DLL创建
  a. __declspec(dllexport) 关键字导出函数
  b. DEF文件方式导出函数名或仅导出函数序号
二。DLL调用
  a. 静态方式调用
  b. 动态方式调用
  c. 仅函数序号方式的调用

三。如何劫持DLL


一。 DLL创建
a. __declspec(dllexport) 关键字导出函数
代码如下: 

#include "stdafx.h"

#include <Windows.h>
#include <tchar.h>

#ifdef _MANAGED
#pragma managed(push, off)
#endif

HANDLE g_hModule = NULL; //保存自己的模块句柄

//导出函数
extern "C" __declspec(dllexport) void Test()
{
	TCHAR tcModulePath[MAX_PATH] = {0};

	//获得自身的完整路径
	GetModuleFileName( (HMODULE)g_hModule,tcModulePath,MAX_PATH);
	MessageBox(0,tcModulePath,_T("testdll的加载路径"),0);
}


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	g_hModule = hModule; //保存模块加载句柄
    return TRUE;
}

#ifdef _MANAGED
#pragma managed(pop)
#endif

b. DEF文件方式导出函数名或仅导出函数序号
 1. 编译DLL代码 
#include "stdafx.h"
#include <tchar.h>

#ifdef _MANAGED
#pragma managed(push, off)
#endif

HANDLE g_hModule = NULL; //保存自己的模块句柄

// DEF文件方式,函数前不需要导出函数关键字 __declspec(dllexport) 
void Test()
{
	TCHAR tcModulePath[MAX_PATH] = {0};

	//获得自身的完整路径
	GetModuleFileName( (HMODULE)g_hModule,tcModulePath,MAX_PATH);
	MessageBox(0,tcModulePath,_T("testdll的加载路径"),0);
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	g_hModule = hModule; //保存模块加载句柄
    return TRUE;
}

#ifdef _MANAGED
#pragma managed(pop)
#endif

2. 创建DEF文件:testdll.def 
LIBRARY	"testdll.lib" ;导出模块名
DESCRIPTION "DEF文件方式"
EXPORTS ;关键字,后面要跟导出函数信息
Test @2	;导出Test函数,导出序号为2
;Test @3 noname ;导出函数Test,导出序号为3,并不导出函数名
各种情况下的导出效果对比:
不使用DEF文件的效果如下:

当为 "Test @2 ;导出Test函数,导出序号为2" 时:

当为 "Test @3 noname ;导出函数Test,导出序号为3,并且不导出函数名" 时 :



注意看"Ordinal"与"Function"的不同.

二。DLL调用
a. 静态方式调用
例子对应"a. __declspec(dllexport) 关键字导出函数"创建的DLL库
这种方式,需要.lib文件和.DLL文件。
例子中是用"#pragma comment(lib"方式,也可在工程属性中常规和输入中指定.lib及所在目录

#include "stdafx.h"

//静态链接方式:
#pragma comment(lib,"..\\debug\\testdll.lib")
extern "C" void Test();

int _tmain(int argc, _TCHAR* argv[])
{
	Test();
	return 0;
}
///

b. 动态方式调用

  这种方式不需要.lib文件,只要知道DLL导出函数的格式就行了。

#include "stdafx.h"

//动态链接方式:
typedef void (* TEST)();
int _tmain(int argc, _TCHAR* argv[])
{
	HMODULE hDll = LoadLibraryA("testdll.dll");
	if(hDll)
	{
		TEST test = (TEST)GetProcAddress(hDll,"Test");
		if(test != NULL)
		{
			test();
		}
		FreeLibrary(hDll);

	}
	return 0;
}
///

c. 仅函数序号方式的调用
例子对应DEF方式生成库时" Test @3 noname ;导出函数Test,导出序号为3,并不导出函数名"创建的DLL库 

#include "stdafx.h"


//DLL仅导出函数序号,没有导出函数名称的调用方式:
typedef void (* TEST)();
int _tmain(int argc, _TCHAR* argv[])
{
	DWORD dwOrdinal = MAKELONG(3,0); //构造函数序号,低字节为序号,高字为0

	HMODULE hDll = LoadLibraryA("testdll.dll");
	if(hDll)
	{
		TEST test = (TEST)GetProcAddress(hDll,(LPCSTR)dwOrdinal);
		if(test != NULL)
		{
			test();
		}
		FreeLibrary(hDll);

	}
	return 0;
}

///

三。如何劫持DLL
在不知道一个EXE源码的情况下,将自己写的代码注入到其中,有两种方法:
1. 直接向对方进程空间使用写内存的方式写入代码
2. 将自己的代码写入到DLL文件中,然后通过劫持EXE所调用的DLL的方式来达到目地。

劫持DLL就是第二种方式的实现方式.

可钻的空子,在于动态链接库文件的加载顺序下,只要让自定义的相同名字的DLL抢先被EXE文件找到,就达到目的了。
顺序如下:
  windows xp sp2系统以上会默认开启SafeDllSearchMode,在这种模式下DLL文件的搜索顺序如下所示:
  (1)可执行程序加载的目录(可理解为程序安装目录比如 E:\XclCode\testdll\testdll\debug)
  (2)系统目录(即 %windir%\system32 )
  (3)16位系统目录(即 %windir%\system)
  (4)Windows目录(即 %windir%)
  (5)当前目录(运行的某个文件所在目录,比如C:\Documents and Settings\Administrator\Desktop\test)
  (6)PATH环境变量中列出的目录

具体实现步骤如下:

 1.  依前面" a. __declspec(dllexport) 关键字导出函数" 的方法创建一个testdll.dll库
 2. 将其剪到指定目录下: E:\\XclCode\\testdll\\dll
 3. 创建一个名字一样的DLL工程,创建testdll.dll库
    例子代码如下: 
#include "stdafx.h"
#include <string.h>

#ifdef _MANAGED
#pragma managed(push, off)
#endif

//这个函数指针保存原始dll导出函数的地址
typedef void (* FUNTEST)();
FUNTEST g_funTest = NULL;

///
/*
//方法一:
extern "C" __declspec(dllexport) void Test()
{
	g_funTest();
}
*/
///
///
/*
//方法二:
//__declspec(naked) :
//  不生成栈平衡效验代码,栈空间开辟代码等调试代码,函数内部内嵌汇编代码直接跳转到原始DLL的导出函数中执行

extern "C" __declspec(naked) __declspec(dllexport) void Test()
{
	__asm jmp dword ptr [g_funTest]
}
*/
///


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
 //进程加载时调用DLLMain
	if(ul_reason_for_call ==DLL_PROCESS_ATTACH)
	{
		//禁用进程内线程创建或退出而调用DllMain入口函数
		DisableThreadLibraryCalls(hModule);
		//获取原始dll导出的函数地址并保存
		char cDllPath[MAX_PATH] = {0};

		//GetSystemDirectoryA( (LPSTR)cDllPath,MAX_PATH);
		//strcat(cDllPath," 1"); //采用导出函数序号的方式调用
		MessageBoxA(0,"劫持成功 by xiongchuanliang! 可以为所欲为了。","劫持库",0);
		//被劫持的,实际要调用的DLL
		strcpy(cDllPath,"E:\\XclCode\\testdll\\dll\\testdll.dll");		
		HMODULE hDll = LoadLibraryA(cDllPath);
		g_funTest = (FUNTEST)GetProcAddress(hDll,"Test");
	}

    return TRUE;
}

#ifdef _MANAGED
#pragma managed(pop)
#endif
 其中关于函数,有两种方法可以参考下。

4. 创建一个调用测试程序,可参照" b. 动态方式调用"例子的代码
5. 将第三步创建的劫持的dll,放入到与第四步创建的exe同一目录下
6. 动行即可看到,MessageBox被弹出了两次

如何解决DLL劫持问题,官网有完整的说明:
http://msdn.microsoft.com/en-us/library/ms682586%28v=vs.85%29.aspx


MAIL: xcl_168@aliyun.com

BLOG: http://blog.csdn.net/xcl168




拙_言
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dll导出函数劫持通用方法
meanong的博客
06-04 5463
问题发现 劫持方法 劫持思路 可能问题 劫持实现 导出函数列表 函数上下文 获取真函数的地址 eax值的保存 完整代码 问题发现 dll劫持是一种常见的攻击方法,但是也可以用在不知道程序源码的情况下调试dll的函数。之前在滴水教程的视频中注意到一个问题,视频作者演示了一个劫持messagebox函数,打印输出参数的过程,当时学生提问是否存在一种通用的方法可以劫持所有的函数,...
计算机中丢失meg.dll,DLL劫持学习及复现
weixin_36140683的博客
07-25 536
0x01 dll简介在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library),即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数(DLLMain),系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数:1.进程装载DLL。2....
C++/CLI 学习笔记
dubinglin的博客
06-20 1595
类型定义语法:public ref class Block {}; // 引用类型定义public value class Vector {}; // 值类型定义public interface class IMyFile {}; // 接口定义public enum class MyEnum{}; // 枚举定义public ref class Shape abstract {}; ...
DLL:VS2005使用C++制作dll文件
jiangxinyu的专栏
07-25 6659
c++制作dll文件 dll文件的c++制作 1、首先用vs2005建立一个c++的dll动态链接库文件,这时, // DllTest.cpp : 定义 DLL 应用程序的入口点。 // #include "stdafx.h" //#include "DllTest.h" #ifdef _MANAGED #pragma managed(push, off) #endi
C#调用C/C++ dll
06-03 482
本文通过实例代码说明如何在托管的C#代码中调用非托管的Win32 API或者自己用C/C++写的Dll中的函数,以及如何传递输入、输出字符串参数,结构类型参数 等问题。   Win32 C/C++ DLL代码如下(最终编译成dll.dll): #include "stdafx.h" #include   #ifdef _MAN
实践API钩子拦截DLL调用
02-25
在日常分析使用某个软件的过程中,如果我们想要去挖掘软件的漏洞、或者是通过打补丁的方式给软件增添一些新的功能,抑或是为了记录下软件运行过程中被调用的函数及其参数,有时候我们需要劫持对某些DLL库的调用过程...
version.dll 劫持源代码
01-08
- **函数Hook**:通过HOOK系统API,如`LoadLibrary`和`GetProcAddress`,使得程序在调用`version.dll`时,实际上是调用了恶意版本。 - **进程注入**:可能需要将恶意代码注入到其他进程中,以在目标程序上下文中执行...
DLLjiechi.zip_delphi 网络_dll_dll劫持_挟持源码
09-22
DLL劫持,又称为DLL挟持,是一种常见的黑客攻击手段,通过篡改程序对DLL的加载顺序或路径,使得恶意的DLL文件得以执行,从而达到控制或监视系统的目的。本篇文章将深入探讨DLL劫持的概念、原理,并结合Delphi编程...
DLL劫持源码生成器.7z
02-22
通过分析给定的压缩包文件"DLL劫持源码生成工具.exe",我们可以推测这是一款利用易语言编写的工具,用于自动创建用于DLL劫持的源代码。用户只需将想要劫持DLL文件拖入工具,它就能自动生成对应的易语言源代码,...
您也使用托管C++吗?
weixin_33881050的博客
03-31 183
  转向.NET后,手头上往往仍有旧的模块要重用。也许这些模块是Delphi写的,也许是C/C++写的,或者是其它编程语言……为了能把它们移植到.NET下,或者是在.NET中调用,To be or not to be, that is a question。  在这里,我笔记了几个在工作中遇到的几个场景。不过,这里不包括完全使用C#来重写原来用C++编写的程序这种变态的需求。当你被要求做这种事的时...
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 5621
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
c++调用c#的dll
积累点滴,保持自我
06-27 4422
1、打开“项目属性”对话框,方法是右键单击“解决方案资源管理器”中的项目并选择“属性”。 2、展开“配置属性”旁边的节点并选择“常规”。在右侧窗格中的“项目默认值”下,将“公共语言运行库支持”设置为“公共语言运行库支持(/clr)”。 3、在相同的窗格中,确保将“MFC的使用”设置为“在共享DLL中使用MFC”。 4、在“配置属性”下,展开“C/C++”旁边的节点并选择“常规”。请确保将“调试信息格式”设置为“程序数据库/Zi”(而不是“/ZI”)。 5、在“配置属性”下,选
managed, unmanaged
走走...停停...发现生活之美
03-16 762
摘自MSDNhttp://msdn.microsoft.com/en-us/library/0adb9zxe%28VS.80%29.aspx  托管以及不托管MSDN说明 Enable function-level control for compiling functions as managed or unmanaged.
条件编译#ifdef的妙用详解_透彻
热门推荐
瞌睡的洋葱的博客
07-17 1万+
https://blog.csdn.net/qq_33658067/article/details/79443014 本文主要介绍c语言中条件编译相关的预编译指令,包括  #define、#undef、#ifdef、#ifndef、#if、#elif、#else、#endif、defined。 #define            定义一个预处理宏 #undef            取消宏的...
#ifdef,#if等条件编译
yansmile1的专栏
12-01 903
电脑程序语句,我们可以用它区隔一些与特定头文件、程序库和其他文件版本有关的代码。 1 2 3 #ifdef语句1 //程序2 #endif 可翻译为:如果宏定义了语句1则执行程序2。 作用:我们可以用它区隔一些与特定头文件、程序库和其他文件版本有关的代码。 代码举例:新建def
vb与c语言数组传递,在VB中调用C/C++语言编写的dll,数组参数的传递
weixin_31316383的博客
05-21 980
动态链接库(dll)的好处就不多说了,这里就把如何在VB中调用VC写的dll函数的方法介绍一下,供有需要的朋友们参考,同时也免得自己以后忘了。初次接触DLL的用户经常会遇到一个问题:在VC环境下创建DLL,在VC里运行的好好的,可在VB应用程序中调用时却老是出现"调用约定错误"、"找不到入口点"之类的错误。这主要是由以下疏漏造成的。首先,要注意DLL中的函数和VB中的函数声明在名称、返回类型、参...
MemoryProfilerRuntimeWin.dll 劫持源码
最新发布
05-22
MemoryProfilerRuntimeWin.dll 劫持是一种代码注入技术,可以修改程序的行为、窃取敏感信息或实现其他恶意行为。这里提供一个简单的示例来说明如何劫持 MemoryProfilerRuntimeWin.dll。 首先,我们需要编写一个 DLL,用于劫持 MemoryProfilerRuntimeWin.dll 的函数。以下是一个简单的示例: ```cpp #include <Windows.h> BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: MessageBox(NULL, L"MemoryProfilerRuntimeWin.dll has been loaded!", L"DLL Injection", MB_OK); break; case DLL_PROCESS_DETACH: MessageBox(NULL, L"MemoryProfilerRuntimeWin.dll is being unloaded!", L"DLL Injection", MB_OK); break; } return TRUE; } extern "C" __declspec(dllexport) void Inject() { MessageBox(NULL, L"Injected successfully!", L"DLL Injection", MB_OK); } ``` 这个 DLL 中的 `DllMain` 函数会在 DLL 被加载和卸载时被调用,我们在这里添加了弹窗提示。除此之外,我们还编写了一个名为 `Inject` 的函数,用于注入后被调用。 接下来,我们使用一个简单的 C++ 代码来注入 DLL: ```cpp #include <Windows.h> #include <iostream> int main() { // 获取 MemoryProfilerRuntimeWin.dll 的模块句柄 HMODULE hModule = GetModuleHandle(L"MemoryProfilerRuntimeWin.dll"); if (!hModule) { std::cout << "Failed to get module handle!" << std::endl; return -1; } // 获取 LoadLibrary 函数的地址 FARPROC pfnLoadLibrary = GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryA"); if (!pfnLoadLibrary) { std::cout << "Failed to get LoadLibrary address!" << std::endl; return -1; } // 在 MemoryProfilerRuntimeWin.dll 中注入 DLL HANDLE hThread = CreateRemoteThread(GetCurrentProcess(), NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibrary, "InjectedDLL.dll", 0, NULL); if (!hThread) { std::cout << "Failed to inject DLL!" << std::endl; return -1; } std::cout << "DLL injected successfully!" << std::endl; // 等待线程结束 WaitForSingleObject(hThread, INFINITE); // 关闭线程句柄 CloseHandle(hThread); return 0; } ``` 这段代码会获取 MemoryProfilerRuntimeWin.dll 的模块句柄,然后使用 `GetProcAddress` 函数获取 `LoadLibrary` 函数的地址,最后调用 `CreateRemoteThread` 函数在 MemoryProfilerRuntimeWin.dll 中注入我们编写的 DLL。 当我们运行这个程序时,我们会看到三个弹窗提示:一个是 `MemoryProfilerRuntimeWin.dll has been loaded!`,一个是 `Injected successfully!`,最后一个是 `MemoryProfilerRuntimeWin.dll is being unloaded!`。 这就是一个简单的 MemoryProfilerRuntimeWin.dll 劫持的示例。需要注意的是,这种技术可能会被杀毒软件或操作系统防护机制识别并拦截,应当谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值