介绍 今天给大家推荐的这个代码库将允许原生Linux程序从一个WindowsDLL文件中加载或调用功能函数。下面是一个简单的演示示例,我将Windows Defender“移植”到了Linux平台。...工作机制 项目源码的peloader目录中包含一个来自ndiswrapper的自定义PE/COFF加载器,这个库可以完成重定位和导入操作,并提供了一个API(dlopen)。...-C++异常扫描和处理; -从IDA加载额外的符号链接; -使用GDB进行调试、设置断点和栈追踪; -设置运行时函数钩子; -扫描内存崩溃问题; 如果你需要从外部添加功能,你可以自行编写stubs,实现起来也非常的简单方便...构建 我们可以输入make命令来构建测试客户端: $ make 依赖 请注意,后缀.i686和:i386是非常重要的,我们需要32位代码库来使用32位dll。...,你可以使用hb或hbreak命令来代替原本的break命令。
在使用静态库的情况下,在编译链接可执行文件时,链接器从库中复制这些函数和数据并把它们和应用程序的其他模块组合起来创建最终的可执行文件(.Exe文件).当发布产品时,只需要发布这个可执行文件,并不需要发布被使用的静态库...显示加载方式加载DLL 使用动态方式来加载动态链接库时,需要用到LoadLibrary函数。该函数的作用就是将指定的可执行模块映射到调用进程的地址空间。...调用原型为: HMODULE LoadLibrary(LPCTSTR lpFileName); LoadLibrary函数不仅可以加载DLL,还可以加载可执行模块(Exe)。...LoadLibrary函数有一个字符串类型(LPCTSTR)的参数,该参数指定了可执行模块的名称,既可以是一个dll文件,也可以是一个exe文件。...加载DLL的两种方式优缺点: 采用动态加载方式,那么可以在需要时才加载DLL,而隐式链接方式实现起来比较简单,在编写客户端代码时就可以把链接工作做好,在程序中可以随时调用DLL导出的函数。
、路径以及结果 image-20211002164529087 然后这里找一个需要用到loadlibrary这个api的dll,这里找有这个api的原因是因为如果该dll的调用栈中存在有 **LoadLibrary...image-20211002164621431 LoadLibrary和LoadLibraryEx一个是本地加载,一个是远程加载,如果DLL不在调用的同一目录下,就可以使用LoadLibrary(L"DLL...即原来的dll文件写入缓冲区,使用LoadLibrary展开后通过wsprintf与原dll进行判断,如果LoadLibrary成功则继续调用InitializeAddresses()函数,继续跟过去看看...但是即时调用实际上是调用了劫持dll的某个函数,只不过那个函数会jmp到原本的dll中的相应函数的地址。达到的效果相同,但是实现的原理不同。...这里主要是尝试一下之前判断的工具的流程,使用导出函数 这里找一个不在Know DLLs里面的dll,而且这个dll必须要用LoadLibrary进行加载,这里我找的是CrashRpt.dll,可以看到有
api的原因是因为如果该dll的调用栈中存在有 **LoadLibrary(Ex)**,说明这个DLL是被进程所动态加载的。...LoadLibrary和LoadLibraryEx一个是本地加载,一个是远程加载,如果DLL不在调用的同一目录下,就可以使用LoadLibrary(L"DLL绝对路径")加载。...那就说明这个dll是动态加载的,并且不需要什么导出函数就可以成功被加载。并且是在程序在运行过程中完成的 这时候我们就需要找这个dll的导出函数,导出函数是可以被外部访问的。...函数,这里跟过去看看 Load函数首先把libuvOrg.dll即原来的dll文件写入缓冲区,使用LoadLibrary展开后通过wsprintf与原dll进行判断,如果LoadLibrary成功则继续调用...这里主要是尝试一下之前判断的工具的流程,使用导出函数 这里找一个不在Know DLLs里面的dll,而且这个dll必须要用LoadLibrary进行加载,这里我找的是CrashRpt.dll,可以看到有
Dll不能直接运行,应用在从DLL调用函数的方法之一是通过运行时动态链接,即将DLL加载到程序的进程空间中以便可以调用其导出的函数时。...进程可以使用该句柄在对GetProcAddress,FreeLibrary或FreeLibraryAndExitThread函数的调用中识别DLL 该的GetModuleHandle函数返回使用的手柄GetProcAddress...请注意,只有在进程加载DLL之后创建的线程才使用此值调用DLL的入口点函数。使用LoadLibrary加载DLL时,现有线程不会调用新加载的DLL的入口点函数。...构造注入程序 LoadLibrary是Windows API中的一个函数,它可以将一个DLL加载到调用进程和调用的内存中DLLMain(将指定的模块加载到调用进程的地址空间中) 使用语法 C ++ HMODULE...在TEXT()中可以确保我们使用的是正确的编码。 然后使用VirtualAllocEx 函数在指定进程中提交内存区域。
; 而在主函数中,首先声明了一个结构体变量Param,然后调用LoadLibrary函数加载kernel32.dll库,将得到的句柄存储到Param.KernelHandle中。...GETPROCADDRESS:GetProcAddress函数的函数指针类型,用于从DLL中检索导出函数或变量的地址。...这些函数指针类型通常用于动态加载DLL和运行时链接导出函数。通过使用这些函数指针,程序可以在运行时获取函数地址并动态调用它们。...MyShell(ShellParametros* ptr)中以供其使用,当然读者也可以使用普通变量形式,只是普通变量在参数传递时没有传递结构方便快捷,如下从结构中可看出,我们分别传递kernel32.dll...2.使用LoadLibrary和GetProcAddress函数获取Kernel32库中的LoadLibrary和GetProcAddress函数的地址,并将其保存到Param结构体的相应字段中。
[image-20211002164621431.png] LoadLibrary和LoadLibraryEx一个是本地加载,一个是远程加载,如果DLL不在调用的同一目录下,就可以使用LoadLibrary...并且是在程序在运行过程中完成的 [image-20211002191903464.png] 这时候我们就需要找这个dll的导出函数,导出函数是可以被外部访问的。...image-20211002231122423.png] 程序要调用uv_async_init这个函数,就可以直接获取原始dll中uv_async_init函数的地址 #pragma comment(linker...但是即时调用实际上是调用了劫持dll的某个函数,只不过那个函数会jmp到原本的dll中的相应函数的地址。达到的效果相同,但是实现的原理不同。...这里主要是尝试一下之前判断的工具的流程,使用导出函数 这里找一个不在Know DLLs里面的dll,而且这个dll必须要用LoadLibrary进行加载,这里我找的是CrashRpt.dll,可以看到有
使用DLL文件的好处是程序不需要在运行之初加载所有代码,只有在程序需要某个函数的时候才从 DLL 中取出。dll 文件和 exe 文件一样都是 PE 文件。 1....当 dll 使用 LoadLibrary(Ex) 加载和使用 FreeLibrary 函数卸载 dll 时,系统还会调用该函数的入口点函数。...(lib, "Dll3.lib") 这样在开发时就可以直接使用 Dll3.dll 中的导出函数了,不需要使用 LoadLibrary 导入 dll,程序执行后会自动寻找相应的 dll 并导入。...: (2)dll 动态调用特点 dll 动态调用即使用 LoadLibrary(Ex) 函数加载的 dll 了。...此外微软还列举了 DllMain 中不能使用的一些函数如直接或间接使用 LoadLibrary(Ex)、GetStringTypeA 等,CreateProcess 和 CreateThread 可以调用但存在风险
(5)促进了本地化 (6)有助于解决平台间的差异 (7)可以用于特殊目的 注意 (1)创建 DLL,事实上是在创建可供一个可执行模块调用的函数 (2)当一个模块提供一个内存分配函数(malloc、new...)的时候,它必须同时提供另一个内存释放函数(free、delete) (3)在使用 C 和 C++ 混编的时候,要使用 extern "C" 修饰符 (4)一个 DLL 可以导出函数、变量(避免导出)、...C++ 类(导出导入需要同编译器,否则避免导出) (5)DLL 模块:cpp 文件中的 __declspec(dllexport) 写在 include 头文件之前 (6)调用 DLL 的可执行模块:cpp...得到 3、16 位的系统目录,即 Windows 目录中的 System 子目录 4、Windows 目录,可以通过 GetWindowsDirectory 得到 5、进程的当前目录 6、PATH 环境变量中所列出的目录...break; case DLL_PROCESS_DETACH: // 将一个DLL从进程的地址空间时调用 // The DLL is being unmapped
GETPROCADDRESS:GetProcAddress函数的函数指针类型,用于从DLL中检索导出函数或变量的地址。...这些函数指针类型通常用于动态加载DLL和运行时链接导出函数。通过使用这些函数指针,程序可以在运行时获取函数地址并动态调用它们。...MyShell(ShellParametros* ptr)中以供其使用,当然读者也可以使用普通变量形式,只是普通变量在参数传递时没有传递结构方便快捷,如下从结构中可看出,我们分别传递kernel32.dll...2.使用LoadLibrary和GetProcAddress函数获取Kernel32库中的LoadLibrary和GetProcAddress函数的地址,并将其保存到Param结构体的相应字段中。...首先,通过调用 LoadLibrary 和 GetProcAddress 函数,获取到 ws2.dll 和 kernel32.dll 中的函数地址,分别是 WSAStartup、WSASocket、WsaConnect
使用宏 最简单的方法是编译两个版本,编译多个版本可以点击配置管理器,然后创建x86和x64,然后版本添加宏,这样就可以判断宏来使用不同的dll ? 点击活动解决方案平台,然后点击新建 ?...dll 那么需要写很多路径 多个函数 实际上如果已经有两个dll ,那么可以使用两个不同函数 [DllImport("SvkiqauhKvdhrureh32.dll", EntryPoint...,但是如果dll多了,一个dll都需要写三次,看起来代码还是很烂 设置查找的文件 实际上好多人都觉得,应用程序首先是从运行的目录开始查找dll,如果找不到,就去GAC查找,如果还是找不到,就去System.../SdarTfqzok.dll"); 如果使用了 LoadLibrary 相对是比较复杂的做法,因为需要手动创建委托的方式。但是用 LoadLibrary 的好处是可以进行释放。...C++ 的方法了,使用下面的代码调用 var n = hfwzsnHzhpbbzbn(1, 2); 遇过遇到了 LoadLibrary 返回的 ptr 是 0 那么需要调用下面代码 var ptr
使用宏 最简单的方法是编译两个版本,编译多个版本可以点击配置管理器,然后创建x86和x64,然后版本添加宏,这样就可以判断宏来使用不同的dll 点击活动解决方案平台,然后点击新建 选择项目属性,点击生成...dll ,那么可以使用两个不同函数 [DllImport("SvkiqauhKvdhrureh32.dll", EntryPoint = "HfwzsnHzhpbbzbn",...,但是如果dll多了,一个dll都需要写三次,看起来代码还是很烂 设置查找的文件 实际上好多人都觉得,应用程序首先是从运行的目录开始查找dll,如果找不到,就去GAC查找,如果还是找不到,就去System.../SdarTfqzok.dll"); 如果使用了 LoadLibrary 相对是比较复杂的做法,因为需要手动创建委托的方式。但是用 LoadLibrary 的好处是可以进行释放。...C++ 的方法了,使用下面的代码调用 var n = hfwzsnHzhpbbzbn(1, 2); 遇过遇到了 LoadLibrary 返回的 ptr 是 0 那么需要调用下面代码 var ptr
LoadLibraryA使我们能够将 dll 从磁盘加载到内存中。这个函数为我们完成了所有的工作,只需要我们将路径传递给 dll 就可以了。...LoadLibrary 会将我们指定的模块(dll)加载到任何调用它的地址空间中,这就是为什么我们不能单独使用它,因为这只会将 dll 加载到我们的程序中,而不是我们想要的程序中将我们的代码注入。...如果函数成功,我们将获得线程的句柄,否则,函数将返回 NULL。 与 LoadLibrary 一样,如果您想对线程的创建进行更多控制,也可以使用该函数的扩展版本。...这是必要的,因为我们需要调用 LoadLibrary 的路径,并且我们需要字符串在我们调用函数的进程中。...由于代码将在另一个进程中运行,我们需要注意不要在我们的函数中包含任何函数调用,因为这些不会指向我们在新进程中可以到达的地址。
不同于使用“LoadLibrary()”,反射DLL注入技术将整个DLL文件载入内存,然后通过确定DLL模块的入口点偏移来将其加载;这样可以按照需求更隐蔽的对其进行调用。...()函数创建一个新的线程,新线程以DLL文件路径名称作为参数来调用LoadLibrary()函数 如果你看过MSDN中关于“CreateRemoteThread()”函数的文档,那么你应该知道,我们需要一个指针...我们可以使用一个真实的APC回调函数,而不使用“LoadLibrary()”。事实上参数可以是指向我们想要注入的DLL文件名称的指针,具体代码如下所示。...我们的断点被成功断下,如下图所示;现在我们可以步过代码,并分析这段代码的功能。 当我们调用“LoadLibrary()”函数时,我们的DLL文件成功加载。...还可以参阅“MemoryModule”项目的作者Joachim Bauch所写的“从内存中加载DLL文件”,以及一篇好文章“不调用LoadLibrary()函数‘手动’加载32位/64位DLL文件”。
从CreateRemoteThread需要的传递的参数中可知,我们需要目标进程空间的多线程函数地址,以及多线程参数。...也就是说我们可以把LoadLibrary函数的地址给作为多线程函数的地址(LoadLibrary函数是用来动态加载DLL的),然后将一个DLL的地址作为多线程的参数。...不过,像(kernel32,ntdll)的加载基地址在系统启动后是固定不变的,也就是说在任何一个程序调用它们的地址都一样,导出函数地址也一致,所以自己程序中的LoadLibrary函数与其他程序的LoadLibrary...函数地址也一致,所以我们可以直接用GetProcAddress函数去获取LoadLibrary的地址。...所以说,我们可以先用VirtualAllocEx函数在对方的进程中申请一块内存,然后用WriteProcessMemory函数将指定DLL写入到目标的进程空间中,然后利用GetProcAddress函数去获取
Windows 操作系统已经知道如何加载 PE 文件,所以人们很好地询问和 DLL Injection 出生于。这涉及在远程进程中启动一个线程以从 WinAPI 调用“LoadLibrary()”。...通过用 C 实现的 LoadLibrary 的粗略副本,现在可以将这段代码包含到任何 DLL 项目中。该进程将从(恶意)DLL 中导出一个名为“ReflectiveLoader”的新函数。...RDI 现在的功能越来越像合法的 LoadLibrary。我们现在可以加载一个 DLL,调用它的入口点,然后将用户数据传递给 另一个 导出函数。...完成后,blob 看起来像这样: image.png 当从引导程序的顶部开始执行时,一般流程如下所示: 获取内存中的当前位置(引导程序) 计算和设置寄存器(引导程序) 使用目标 DLL 的函数哈希、...用例 #3 – 依赖项 从磁盘读取现有的合法 API DLL 将 DLL 转换为 shellcode(使用 sRDI)并将其加载到内存中 使用 GetProcAddress 查找所需的函数 优点: 避免使用检测
DLL映射到调用进程的地址空间中,但是不调用DllMain并且不加载依赖Dll(只映射自己本身)。...LOAD_LIBRARY_SEARCH_USER_DIRS : 搜索路径的使用使用AddDllDirectory和SetDllDirectory设置的路径(保护Dll自己和依赖Dll)。...而是从IAT表导入函数的程序,不能用导出函数的方法 导入表调用在程序执行开头,那么可以在解析PE头的时候调用 DLLMAIN MODULEINFO moduleInfoe; SIZE_T bytesWritten...,其用的方法是从IAT表中导入函数,直接运行会显示缺dll 这里使用脚本获取所有的导出函数 得到a1.c的源文件,可以看到已经将导出函数声明到了源文件里面 然后将shellcode填充到相应位置...再使用gcc编译成dll 双击即可完成IAT类型的dll劫持
这里的LoadLibrary实际使用了LoadLibraryW而非LoadLibraryA,因此需要UNICODE字符串(宽字符串),而非窄字符串。...UNICODE 在C/C++代码中,直接使用””定义的字符串为窄字节串,而windows头文件中提供的TEXT宏可以根据是否定义了UNICODE宏来自动选择字符串类型。...因此,利用TEXT宏使其自动选择了正确的字符集,dll调用成功。 (2)dll里有全局变量初始化失败或dllmain函数返回false。这种情况需要根据自己的业务代码具体分析排除与定位。...如果您真都没有源码,只能如此“尴尬”的想正常运行,可以参见资料《64位进程调用32位dll的解决方法 / 程序64位化带来的问题和思考》 (4)其他原因 4.1 LoadLibrary函数跟LoadLibraryEx...函数装载dll的机制不一样,前者在装载dll遇到与该dll依赖的其他dll时会自动装载,而后者不会。
这样就有思路了,我们让LoadLibrary作为线程的回调函数,将对应dll的文件名和路径作为参数传入,这样就可以在对应进程中加载dll了,进一步也就可以执行dllmain中的对应代码了。...最后总结一下DLL注入的步骤: 获取LoadLibrary函数的地址 调用VirtualAllocEx 函数在远程进程中申请一段虚拟内存 调用WriteProcessMemory 函数将参数写入对应的虚拟内存...调用CreateRemoteThread 函数创建远程线程,线程的回调函数为LoadLibrary,参数为对应的字符串的地址 按照这个思路可以编写如下的代码: typedef HMODULE(WINAPI...无dll的注入主要麻烦是在进行地址转化上,在调用API的时候,如果无法保证对应的dll的基地址不变的话,就得在目标进程中自行调用LoadLibrary来动态获取函数地址,并调用。...DLL注入的另一个区别是,不使用DLL注入的时候需要自己加载目标代码到对应的进程中,这个操作可以借由WriteProcessMemory 将函数代码写到对应的虚拟内存中。
它们是一些独立的文件,其中包含能被可执行程序或其它DLL调用来完成某项工作的函数。只有在其它模块调用动态链接库中的函数时,它才发挥作用。...1、我们可以把完成某种功能的函数放在一个动态链接库中,提供给其它函数调用。...在使用静态库情况下,在编译链接可执行文件时,链接器从库中复制这些函数和数据并把它们和应用程序的其它模块组合起来创建最终的可执行文件。产品发布时不需要发布被使用的静态库。...3、Dumpbin命令 应用程序如果想要访问某个DLL中的函数,那么该函数必须是已经被导出的函数。可以用Dumpbin查看。在使用之前可能需要通过VCVARS32.bat来建立VC使用的环境变量。...使用完后,通过FreeLibrary 来减少被加载的dll的引用计数,当减到0时,该DLL模块从调用进程的地址空间卸载。
领取专属 10元无门槛券
手把手带您无忧上云
