广东快乐十分19码计划|广东快乐十分基础走势图派彩|
果核源码网全新改版 记住新域名:www.qtbgwf.tw
当前位置:网站首页 > ?#23376;?#35328;源码 > 高级易源码 > 正文

DLL劫持源码

作者:applek 日期:2018-10-14 分类:高级易源码

以一个D3D为例子,表现DLL劫持

DLL劫持原理[url=]编辑[/url]

由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝?#28304;?#24403;前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完?#19978;?#20851;功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。

利用这种方法取?#27599;?#21046;权后,可以对主程序进行补丁。此种方法只对除kernel32.dll、ntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dll、sxs.dll,这些DLL都可被劫持。

伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数?#26412;?#35843;用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。

这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。

一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录?#36335;?#29616;系统一些DLL文件存在时,如lpk.dll,应引起注意。

首先 运行exe他会把需要的DLL加载进来,加载的目录如无特别的制定的话,现在当前目录找,然后再去系统目录找

我的附件中?#28304;?#20102;一个D3D9的绘图程序,是VC写的

调用的是系统的D3D9.DLL(因为目录下没有)

只解压那个exe文件,是不会有文字出现的

如果把其他的DLL一起解压,就会出现下图文字  hello D3D hook!

 

那么我们如何劫持了D3D9.dll呢

d3d9_Ex.dll 这个文件其实就是D3D9.dll了,但是我们改名字了,程序就不认识了

我们先用

 

把D3D9.DLL的输出表找到,弄到

下载地址

https://ghboke.ctfile.com/fs/7369060-0

已有2位网友发表了看法:

欢迎 发表评论:

请填写验证码
广东快乐十分19码计划