开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

加载调用加载它的DLL中的函数的DLL

是指在软件开发中，通过动态链接库（Dynamic Link Library，简称DLL）加载并调用另一个DLL中的函数。

概念：

DLL是一种可执行文件格式，它包含了一组函数和数据，可以被多个应用程序共享使用。通过将函数和数据封装在DLL中，可以实现代码的模块化和重用，提高开发效率和代码的可维护性。

分类：

根据DLL的用途和功能，可以将DLL分为系统DLL和应用程序DLL。系统DLL是操作系统提供的，包含了操作系统的核心功能和服务；应用程序DLL是由开发人员自行编写的，用于实现特定的功能模块。

优势：

模块化：通过将函数和数据封装在DLL中，可以实现代码的模块化，提高代码的可维护性和重用性。
节约内存：多个应用程序可以共享同一个DLL，避免了重复加载相同的代码和数据，节约了内存空间。
动态更新：通过替换DLL文件，可以实现对功能模块的动态更新，无需重新编译整个应用程序。
加速开发：开发人员可以专注于DLL中的特定功能模块，提高开发效率。

应用场景：

插件系统：通过将功能模块封装为DLL，可以实现应用程序的插件化扩展，方便用户根据需求选择加载不同的功能模块。
跨平台开发：通过编写跨平台的DLL，可以在不同的操作系统上共享代码和功能，提高开发效率。
动态更新：通过替换DLL文件，可以实现对应用程序的功能模块进行动态更新，无需重新部署整个应用程序。

推荐的腾讯云相关产品：

腾讯云提供了一系列与云计算相关的产品和服务，以下是其中几个与DLL加载和调用相关的产品：

云服务器（Elastic Compute Cloud，简称CVM）：提供弹性的虚拟服务器实例，可用于部署应用程序和DLL文件。
云函数（Serverless Cloud Function，简称SCF）：无服务器计算服务，可以将DLL中的函数封装为云函数，实现按需调用。
云原生数据库TDSQL：提供高可用、可扩展的数据库服务，可用于存储DLL中的数据。

产品介绍链接地址：

云服务器（CVM）：https://cloud.tencent.com/product/cvm
云函数（SCF）：https://cloud.tencent.com/product/scf
云原生数据库TDSQL：https://cloud.tencent.com/product/tdsql

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

白加黑免杀制作（详细）

最近被微步的一篇文章吸引了，里面讲到银狐通过自解压白 exe + 黑 dll 执行截取主线程添加自启动，发现 dll 与普通的免杀有很大的不同，决定自己尝试一下，虽然我之前没有做过白加黑免杀，感觉应该不会太难，但是当我真正尝试的时候才发现很多问题，如：

07

DllMain中不当操作导致死锁问题的分析--进程对DllMain函数的调用规律的研究和分析

不知道大家是否思考过一个过程：系统试图运行我们写的程序，它是怎么知道程序起始位置的？很多同学想到，我们在编写程序时有个函数，类似Main这样的名字。是的！这就是系统给我们提供的控制程序最开始的地方（注意这儿是提供给我们的，而实际有比这个还要靠前的main）。于是看到DllMain就可以想到它是干嘛的了：Dll的入口点函数。那何时调用这个函数的呢？以及各种调用场景都传给了它什么参数呢？（转载请指明出于breaksoftware的csdn博客）

02

绝大部分测试和开发人员都不知道的DLL

1. Kernel32.dll 它包含那些用于管理内存、进程和线程的函数，例如CreateThread函数；

02

C++ DLL 工程创建与使用

DLL，是 Dynamic Link Library的缩写，中文名动态链接库。DLL是一个包含可由多个程序，同时使用的代码和数据的库。本文简介DLL 概念，记录 DLL 工程创建与使用方法。简介动态链接库（ Dynamic-link library，缩写为 DLL）是微软公司在windows 系统中实现共享函数库概念的一种实现方式。所谓动态链接，就是把常用的公共函数封装到 DLL 文件中，当程序需要用到这些函数时，系统才会动态地将 DLL 加载到内存中使用。调用方式主要分为两种：

05

实战 | DLL劫持思路和研究

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件。

02

白加黑保姆教程通杀主流杀软

简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的，那么就需要对exe加载的dll进行了解。

01

DllMain中不当操作导致死锁问题的分析——DllMain中要谨慎写代码（完结篇）

之前几篇文章主要介绍和分析了为什么会在DllMain做出一些不当操作导致死锁的原因。本文将总结以前文章的结论，并介绍些DllMain中还有哪些操作会导致死锁等问题。（转载请指明出于breaksoftware的csdn博客） DllMain的相关特性

02

最新dll劫持详解

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件。

03

DLL劫持详解

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件。

02

进程注入1：通过LoadLibrary注入DLL

进程注入是将任意代码写入已经运行的进程中并执行，可以用来逃避检测对目标目标进程中的敏感信息进行读/写/执行访问，还可以更改该进程的行为。

03

从原理解析如何防御DLL劫持

在Windows系统中，为了节省内存和实现代码重用，微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL（Dynamic Link Library），即动态链接库，这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数（DLLMain），系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数：

01

sRDI – Shellcode 反射 DLL 注入

在 2017 年美国黑帽大会上首次提供“暗面行动 II – 对抗模拟”时，我们悄悄地放弃了一个名为 sRDI 的内部工具包。不久之后，整个项目被放到了 GitHub ( https://github.com/monoxgas/sRDI ) 上，没有太多解释。我想写一篇简短的文章来讨论这个新功能背后的细节和用例。

00

N种内核注入DLL的思路及实现

内核注入，技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL，有的无文件，全部存在于内存中。可能有部分人会说：“都进内核了.什么不能干？”。是啊，要是内核中可以做包括R3上所有能做的事，软件开发商们也没必要做应用程序了。有时，我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事，进程 / DLL是不错的选择，但进程目标太大，所以更多的同学趋向于注DLL。若要开发安全软件、小型工具，可借鉴其思路，Anti Rootkits时，在某些极端情况下，可使用同样的技术发现、清除RK，保证用户电脑的正常使用。在此，我将探讨几种内核注入DLL的思路及实现原理。 (1) APC技术给一个Alertbale的用户态线程插APC，让其执行其中的ShellCode,来执行我们的代码。这个方法简单易行，但是不够稳定，兼容性不好。测试中发现经常出现Explorer.exe等插崩溃的情况，而且有杀软在的情况下，插入有时会被拦截，起不到应有的效果。(可参考我以前逆过的一个驱动：逆向fuck.sys--编译通过--源码) (2) 内核Patch [url=file://KnownDLLs/Kernel32.dll]\\KnownDLLs\\Kernel32.dll[/url] CreateThread [url=file://KnownDLLs/]\\KnownDLLs[/url]是系统加载时对象管理器加载最新磁盘DLL到内存的，当其他进程想调用某个DLL时，就不用重复从磁盘加载了，而会从这里映射一份到自己的进程空间中去。这样给我们做全局Patch提供了一个很好的机会： ZwOpenSection打开 [url=file://KnownDlls/kernel32.dll]\\KnownDlls\\kernel32.dll[/url]，调用ZwMapViewOfSection映射一份到自己进程空间，然后寻找kernel32.dll在内存中代码节的空隙，选择这里作为我们fake函数的存储Buffer。修改CreateThread函数的开头5字节跳转到这个间隙，当系统任何一个线程创建时，会走到CreateThread函数，然后执行空隙中的ShellCode，其负责调用LoadLibrary加载我们的DLL。DLL一经加载，会发IOCTL通知本驱动，让驱动卸载HOOK。这样就完成了内核注DLL的过程。测试时发现Svchost.exe进程调用CreateThread函数很频繁，所以触发也会很快，基本1秒不到就能将DLL加载进去，而我们的HOOK也卸掉了。所以稳定性提高不少。示意图如下：

02

【操作系统】动态链接库

DLL就是整个windows操作系统的基础。动态链接库不能直接运行，也不能接收消息。他们就是一些独立的文件。

02

12、动态链接库,dll

动态链接库通常都不能直接运行，也不能接收消息。它们是一些独立的文件，其中包含能被可执行程序或其它DLL调用来完成某项工作的函数。只有在其它模块调用动态链接库中的函数时，它才发挥作用。

02

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

PE文件和COFF文件格式分析——导出表的应用——通过导出表隐性加载DLL

通过导出表隐性加载DLL？导出表？加载DLL？还隐性？是的。如果觉得不可思议，可以先看《PE文件和COFF文件格式分析——导出表》中关于“导出地址表”的详细介绍。（转载请指明出于breaksoftware的csdn博客）

03

C++动态链接库

动态链接库动态链接库英文为DLL，是Dynamic Link Library 的缩写形式，DLL 是一个包含可由多个程序同时使用的代码和数据的库，DLL不是可执行文件。动态链接提供了一种方法，使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个 DLL 中，该 DLL 包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。DLL 还有助于共享数据和资源。多个应用程序可同时访问内存中单个DLL 副本的内容。DLL 是一个包含可由多个程序同时使用的代码和数据的库。定义通过使用 DLL，

05

DLL代理加载shellcod用于免杀，维权等等

DLL侧面加载或DLL代理加载允许攻击者滥用合法的和经过签名的可执行文件，以在受感染的系统上执行代码。自2017年以来，这种技术一直很流行。

01

Qt创建及使用动态链接库(一)

2、显示链接DLL，调用DLL中类对象、成员函数。（通过对象即可实现类成员函数的调用）

02

【专业技术第五讲】动态链接库及其用法

存在的疑惑：动态链接库到底如何来使用？特别是windows上面解决方案：本篇我们讲Windows上的动态链接库（Dynamic Link Library 或者 Dynamic-link Library，缩写为 DLL），它是微软公司在微软Windows操作系统中，实现共享函数库概念的一种方式。这些库函数的扩展名是 ”.dll"、".ocx"（包含ActiveX控制的库）或者 ".drv"（旧式的系统驱动程序）。动态链接提供了一种方法，使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个

07

14种DLL注入技术

本文是我搜集整理的DLL注入方法，有一些自己实现了，在文末的链接里有源码，其余没有实现的也有git链接或别的源码链接。

04

c++DLL编程详解

DLL(Dynamic Link Library)的概念，你可以简单的把DLL看成一种仓库，它提供给你一些可以直接拿来用的变量、函数或类。在仓库的发展史上经历了“无库－静态链接库－动态链接库”的时代。静态链接库与动态链接库都是共享代码的方式，如果采用静态链接库，则无论你愿不愿意，lib中的指令都被直接包含在最终生成的EXE文件中了。但是若使用DLL，该DLL不必被包含在最终EXE文件中，EXE文件执行时可以“动态”地引用和卸载这个与EXE独立的DLL文件。静态链接库和动态链接库的另外一个区别在于静态链接库

06

python dll注入监听_DLL注入和API拦截

在Windows中，每个进程相互独立，都有自己的私有的地址空间，程序中使用的指针都是进程自己地址空间的一个内存地址，无法创建也没法使用其他进程的指针。这种机制使得各个进程之间不会相互影响，万一自己出现了问题，也不会影响到其他的进程。对用户来说，系统更加的稳定了，但是对于开发人员来说，会使我们很难编写能够与其他进程通信的应用程序或对其他进程进行操控的引用程序。

01

edr对抗技术1-api unhook output

这里借用别人的一张图，大概是这样：因为刚开始是有一个ntdll被载入内存，然后杀软对其hook，自然也就是修改了代码段。然后这个时候，我们用新的ntdll的代码段覆盖被hook的代码段，实现ntdll重载。

01

Windows下的代码注入

木马和病毒的好坏很大程度上取决于它的隐蔽性，木马和病毒本质上也是在执行程序代码，如果采用独立进程的方式需要考虑隐藏进程否则很容易被发现，在编写这类程序的时候可以考虑将代码注入到其他进程中，借用其他进程的环境和资源来执行代码。远程注入技术不仅被木马和病毒广泛使用，防病毒软件和软件调试中也有很大的用途，最近也简单的研究过这些东西，在这里将它发布出来。想要将代码注入到其他进程并能成功执行需要解决两个问题：

02

VC 2015 调用栈查看主函数调用详情的设置

在 C 和 C++ 的教科书中会告诉程序员，main 函数是程序的入口函数。这个在初学 C 或 C++ 的时候并没有被怀疑过，因为每个 C 或 C++ 程序都会有一个 main 函数。

02

PE文件和COFF文件格式分析——导出表的应用——一种插件模型

可能在很多人想想中，只有DLL才有导出表，而Exe不应该有导出表。而在《PE文件和COFF文件格式分析——导出表》中，我却避开了这个话题。我就是想在本文中讨论下载Exe中存在导出表的场景。（转载请指明出于breaksoftware的csdn博客）

05

c#封装动态库_nginx调用so动态库

一直对动态库的封装理解不是很透彻，虽然之前写过一个Demo，不过并没有真正的理解。所以写下来，帮助自己理解下。

02

[C-C++]DLL之旅2 : 调用DLL(静态&动态加载)

原文链接：http://blog.csdn.net/humanking7/article/details/78586478

01

常用功能加载宏——调用微信截图

但这个功能在使用的时候，不是很方便，电脑版微信的截图功能就比较丰富，使用也很方便。

02

InlineHook实践

InlineHook是一种指令级的函数hook方式，通过直接修改运行时内存的方式替换指令，完全手工的完成hook及跳回操作，理论上可以实现任意位置的hook。平时使用Frida进行Native hook实际上也是用的InlineHook的原理。

03

多种DLL注入技术原理介绍

DLL注入技术可以被正常软件用来添加/扩展其他程序，调试或逆向工程的功能性；该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说，了解DLL注入的工作原理是十分必要的。

03

DLL注入与安全

安全与危险是共存的。如果我们了解危险的来源以及产生的过程，对于安全防护拥有很现实的意义。本文主要介绍dll注入的方式，意在描述危险的来源，以及危险的执行的过程，以便于我们解决危险。

02

滥用具备RWX-S权限且有签名的dll进行无感知的shellcode注入

常规的shellcode注入一般是通过VirtualAllocEx,WriteProcessMemory 和 CreateRemoteThread 来实现的，但是这种方式是被安全软件重点监控的，同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入，并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。本方法是由文章提出的：https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/ ，详情可以参考此文章。

02

C/C++ 关于生成静态库（lib)/动态库(dll)文件如何使用(基于windows基础篇)

1. 首先，如何制作一个静态库（lib）? 额，对于静态库，我们知道，里头是不应该有Main函数，它只是一个配合文件。之所以称之为lib静态库，其实就是指，我们需要用到lib里

05

打开文件夹就运行？COM劫持利用新姿势

*本文原创作者：菠菜，本文属FreeBuf原创奖励计划，未经许可禁止转载打开文件夹就能运行指定的程序？这不是天方夜谭，而是在现实世界中确实存在的。利用本文探讨的COM劫持技术，可以轻松实现出打开文件

08

DLL劫持技术权限提升及防范

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是一种文件类型。在程序运行中，可能会需要一些相对独立的动态链接库，而这些预先放置在系统中的动态链接库文件。当我们执行某一个程序时，相应的DLL文件就会被调用。DLL 是一个包含可由多个程序同时使用的代码和数据的库，一个应用程序可使用多个DLL文件，一个DLL文件也可能被不同的应用程序使用，这样的DLL文件被称为共享DLL文件。

01

C/C++ 通过中转函数实现DLL劫持

当我们运行程序时，一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库，在进程未被创建之前Ntdll.dll库就被默认加载了，三环下任何对其劫持都是无效的，除了该Dll外，其他的Dll都是在程序运行时，在输入表中查找到对应关系后才会被装载到内存中的，理论上来说对除NtDll以外的其他库都是可操作的。

01

python调用dll文件接口

在Python中某些时候需要C做效率上的补充，在实际应用中，需要做部分数据的交互。使用python中的ctypes模块可以很方便的调用windows的dll（也包括linux下的so等文件），下面将详细的讲解这个模块（以windows平台为例子），当然我假设你们已经对windows下怎么写一个DLL是没有问题的。引入ctypes库

04

技术研究-从零开始学习DLL劫持

如果程序需要加载一个相对路径的dll文件，它将从当前目录下尝试查找，如果找不到，则按照如下顺序寻找：

01

枚举进程中的模块

在Windows中枚举进程中的模块主要是其中加载的dll，在VC上主要有2种方式，一种是解析PE文件中导入表，从导入表中获取它将要静态加载的dll，一种是利用查询进程地址空间中的模块，根据模块的句柄来得到对应的dll，最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段：

02

dll 劫持和应用

2020年12月，SolarWinds 攻击事件引发全球的关注(https://us-cert.cisa.gov/ncas/alerts/aa20-352a)，攻击团队在 2020年上旬通过对 SolarWinds Orion 产品实现供应链攻击，导致诸多厂商被攻击，造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节，其中供应链攻击的实现，也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。

03

Cobaltstrike4.0——记一次上头的powershell上线分析

1、CS powershell上线过程分析 2、powershell shellcodeloader分析 3、shellcode内容 4、dll注入相关内容 5、ReflectDllInjection技术分析

01

python dll注入网络_dll注入

动态链接库(Dynamic Link Library 或者 Dynamic-link Library，缩写为 DLL)

03

ASUS ROG Armory Crate Lite Service v4.2.8 中的权限提升分析 (CVE-2021-40981)

ASUS ROG Armory Crate软件安装了一个名为 Armoury Crate Lite Service 的服务，该服务容易受到幻像 DLL 劫持。这允许非特权用户在其他用户（包括管理员）的上下文中执行代码。要利用此漏洞，管理员必须在攻击者将恶意 DLL 放入路径后对受感染机器进行身份验证C:\ProgramData\ASUS\GamingCenterLib\.DLL。华硕已通过发布军械库 Crate Lite 服务 v4.2.10 版本修复了MITRE 分配 IDCVE-2021-40981的漏洞。

09

DLL注入新姿势：反射式DLL注入研究

在分析koadic渗透利器时，发现它有一个注入模块，其DLL注入实现方式和一般的注入方式不一样。搜索了一下发现是由HarmanySecurity的Stephen Fewer提出的ReflectiveDLL Injection. 由于目前互联网上有关这个反射式DLL注入的分析并不多，也没有人分析其核心的ReflectiveLoader具体是怎么实现的，因此我就在这抛砖引玉了。

03

DLL依赖查看神奇CFF Explorer

CFF Explorer是一款优秀的PE资源工具，使用CFF Explorer可以方便地查看和编辑PE（EXE/DLL）资源，类似PE资源工具有eXeScope、ResHacker等。

04

如何使用python的ctypes调用医保中心的dll动态库下载医保中心的账单

文档：对调用dll动态库的描述，调用哪个dll文件，同时了解清楚调用这个dll文件中的哪个函数。

02

安全研究 | 使用ScareCrow框架实现EDR绕过

ScareCrow是一款功能强大的Payload创建框架，可以帮助广大研究人员生成用于向合法Windows金册灰姑娘中注入内容的加载器，以绕过应用程序白名单控制。当DLL加载器加载进内存中之后，将会使用一种技术来将EDR钩子从正在进程内存中运行的系统DLL中清理掉，这是因为我们知道EDR的钩子是在这些进程被生成时设置的。ScareCrow可以通过使用API函数VirtualProtect来在内存中对这些DLL进行操作，该函数可以将进程的内存权限的一部分更改为不同的值，特别是将Execute-Read修改为Read-Write-Execute。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭