如果没有独立于位置的代码，Windows如何处理加载到内存中的多个DLL？

在Windows中，当加载到内存中的多个DLL没有独立于位置的代码时，Windows会使用一种称为“共享内存”的机制来处理。

共享内存是一种允许多个进程共享同一块内存的机制。在加载到内存中的多个DLL中，如果它们没有独立于位置的代码，那么它们可以共享同一块内存空间，这样可以节省系统资源并提高性能。

具体来说，当多个DLL被加载到内存中时，它们的代码段、数据段和其他资源会被映射到进程的虚拟地址空间中的不同区域。然后，Windows会将这些DLL的代码段映射到共享内存中的相应位置，以便多个DLL可以共享同一块内存空间。

通过共享内存，多个DLL可以相互访问彼此的代码和数据，从而实现代码的共享和重用。这种机制可以提高系统的效率，并减少内存的占用。

对于开发者来说，使用共享内存的好处是可以减少代码的冗余，提高开发效率。同时，共享内存也可以提供更好的代码模块化和组件化，使得代码更易于维护和扩展。

在腾讯云的云计算平台中，推荐使用云服务器（CVM）来部署和运行Windows应用程序。云服务器提供了高性能的计算资源和稳定可靠的网络环境，可以满足各种规模和需求的应用程序部署。您可以通过腾讯云官网了解更多关于云服务器的信息：https://cloud.tencent.com/product/cvm

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

总结到目前为止发现的所有EDR绕过方法

AV/EDR可能的目标之一是查看攻击者在运行时准确加载到内存中的内容。因此他们可以监视NtWriteVirtualMemory调用。但是如何进行“监视”呢？...AV/EDR通常会处理此文件的内存中副本，并将自己的代码添加到特定功能中，例如NtWriteVirtualMemory。...kernel32.dll或NTDLL.dll加载某些功能，则库文件的副本将加载到内存中。...因此，在调用真实的Windows API函数代码之前，需要进行分析。如果此分析没有导致可疑/恶意行为，并且返回了干净的结果，则随后将调用原始Windows API函数。...通过使用此方法，AV / EDR系统可以修补Windows库文件（如NTDLL.dll）的内存副本与P / Invoke相比，D / Invoke在运行时手动加载Windows API函数，并使用指向其在内存中位置的指针来调用该函数

9.3K3 1

红队免杀必会-进程注入--注册表-全局钩

前言进程注入，简而言之就是将代码注入到另一个进程中，跨进程内存注入，即攻击者将其代码隐藏在合法进程中，长期以来一直被用作逃避检测的手段....进程的注入方式可以分为DLL注入和shellcode注入，这两种方式本质上没有区别，在操作系统层面上，dll也就是shellcode的汇编代码。...如果钩子函数的实现代码在DLL中，则在对应事件发生时，系统会把这个DLL加载到发生事件的进程空间地址中，使它能够调用钩子函数进行处理。...我们知道，全局钩子是以DLL的形式加载到其他进程空间中的，而且进程都是独立的，所以任意修改一个内存里的数据是不会影响另一个进程的。那么如何实现注入呢？可以在DLL中创建共享内存。...共享内存是指突破进程独立性，多个进程共享一段内存。在DLL中创建一个变量，让后将DLL加载到多个进程空间，只要一个进程就该了该变量值，其他进程DLL中的这个值也会改变，相当于多个进程共享也给内存。

1.4K2 0

内核漏洞利用：通过WARBIRD在Windows 10上提升权限

通过调用这些API，我们就可以将shellcode注入到NTVDM进程中，但是为了更简单一点，我们把一个DLL加载到NTVDM中。...如果我们用一个非常简单的DLL来运行，那么就可以看到NTVDM完美地调用了我们的代码： ?...构建exploit 目前我们可以将任意DLL加载到NTVDM进程中了，现在就需要开始考虑如何构建我们的exploit。一个建议提供了以下示例来触发此漏洞： ?...如果我们将这段代码添加到一个DLL中，并将其注入到NTVDM进程中，我们发现WinDBG会触发以下断点： ?...（在这方面，如果你还没有阅读我以前的文章，【点击原文】阅读）。

1.6K8 0

DLL注入与安全

原理：代码的执行需要把代码写到内存中。因此我们就需要把我们的dll加载到内存中。但目前有几个困难。困难：由于每个应用程序都有自己执行的空间-虚拟空间，我们需要把dll注入的目标空间才行。...我们应该如何找到目标空间呢？如果找到目标空间，我们要怎么写入代码呢？写入之后我们要如何执行呢？需求产生了，那么请思考下如何做吧！...要调用dll，最起码也需要知道dll的位置和名称吧。因此，我们需要把dll的路径和名字写入到内存中。...当然我们需要使用API函数来调用我们的DLL呢。虽然我们写入了dll路径和名字，但还木有加载到内存中呢。因此我们创建一个远程线程。并让远程线程执行，调用我们dll的API函数。...假如其他全程序开辟了虚拟内存，这步竟然，向我们应用程序中要内存了，如果恶意代码疯狂的开辟，怎么办？危险指数高，与1相比，我们要处理掉这个开辟内存，在往下看内存写数据，我们自身应用程序也需要写内存。

5552 0

PE文件和COFF文件格式分析——签名、COFF文件头和可选文件头1

对于如何找到这个位置，在前一篇文章中已经有了解说：从文件头偏移0x3C读取一个DWORD大小的数据，从文件头偏移该数据长度，就到了Signature的起始位置。 ...它表明此文件不包含机制重定位信息，于是它只能被加载到其首选基地址。如果首选基地址不可用，则加载器会报错。链接器默认会移除可执行文件中的重定位信息。...IMAGE_FILE_NET_RUN_FROM_SWAP 0x0800 如果该文件是在网络介质上，需要将其完全加载到交换文件中。...一个Exe可能会加载多个DLL，如果系统“不小心”把某个DLL加载到0x70000000，那么如果有某个DLL设置了IMAGE_FILE_RELOCS_STRIPPED并将其首选加载地址正好也设置为0x70000000...没有设置IMAGE_FILE_32BIT_MACHINE意味着该文件可能是64位程序，而设置了IMAGE_FILE_LARGE_ADDRESS_ AWARE，则说明该文件可以处理大于2G的空间的内存，则该文件是

1.2K4 0

【Linux系统编程】——深入理解 GCCG++ 编译过程及常用选项详解

在我们的实际开发中，不可能将所有代码放在⼀个源⽂件中，所以会出现多个源⽂件，⽽且多个源⽂件之间不是独⽴的，⽽会存在多种依赖关系，如⼀个源⽂件可能要调⽤另⼀个源⽂件中定义的函数，但是每个源⽂件都是独⽴编译的...，所以同⼀个⽬标⽂件都在内存存在多个副本；更新⽐较困难：因为每当库函数的代码修改了，这个时候就需要重新进⾏编译链接形成可执⾏程序。...动态库文件后缀： .so（Linux）或 .dll（Windows）。...其后缀名⼀般为“.a” • 动态库与之相反,在编译链接时并没有把库⽂件的代码加⼊到可执⾏⽂件中,⽽是在程序执⾏时由运⾏时链接⽂件加载库,这样可以节省系统的开销。...如果用目标语言本身实现编译器，如何运行该编译器？自举解决了这一问题。验证编译器的正确性如果一个编译器能够成功地编译自身并运行生成的版本，说明这个编译器的实现是可靠的。

2912 0

sRDI – Shellcode 反射 DLL 注入

简史回到过去，如果您要利用现有代码，或将恶意代码暂存到内存中，您会使用 shellcode。对于那些仍然有能力编写汇编程序的少数人，我们向您推荐。...随着 Windows API 的成长和普及，人们在 DLL 中找到了避风港。C 代码和交叉兼容性非常吸引人，但是如果您希望您的 DLL 在另一个进程中执行怎么办？...Windows 操作系统已经知道如何加载 PE 文件，所以人们很好地询问和 DLL Injection 出生于。这涉及在远程进程中启动一个线程以从 WinAPI 调用“LoadLibrary()”。...“您现在可以随时动态地将任何 DLL 转换为位置独立的 shellcode。” 该工具主要与编写/自定义恶意软件的人相关。如果您不知道如何编写 DLL，我怀疑大部分内容都适用于您。...用例 #3 – 依赖项从磁盘读取现有的合法 API DLL 将 DLL 转换为 shellcode（使用 sRDI）并将其加载到内存中使用 GetProcAddress 查找所需的函数优点：避免使用检测

1.9K0 0

Donut - 将 .NET 程序集作为 Shellcode 注入

反射 DLL 加载中间 .NET 程序集以处理错误并提高有效负载的稳定性。中间 .NET 程序集从子进程内的内存中加载您的 .NET 程序集。您的程序集的主要入口点与您的命令行参数一起被调用。...向前进为了克服这些限制，我们需要一种满足以下要求的技术：允许您从内存中运行 .NET 代码。可以与任何 Windows 进程一起使用，无论其体系结构如何以及是否加载了 CLR。...NET 旨在允许为多个 .NET 版本构建的 .NET 程序集在同一进程中同时运行。因此，无论注入前进程的状态如何，您的有效负载都应始终运行。...如果没有，那么微软就不会成功。CLR Sentry 将注意到每个加载 CLR 的非托管程序。误报：这不会注意到将 .NET 代码注入到已加载 CLR 的进程中。...如果没有任何托管进程，则所有进程都是潜在目标。无论哪种方式，注入/迁移到最有可能自然产生网络流量并且寿命最长的进程中。

2.1K0 0

走进计算机病毒-基础知识「建议收藏」

，完成功能的基本单位，而进程则为线程提供了生存空间和线程所需要的其他资源，程序则是包含资源分配管理代码以及线程执行调度代码的一个静态计算机代码集合动态链接库动态链接库DLL，它是Dynamic Link...动态链接库（DLL）是作为共享函数库的可执行文件（这里所谓的DLL是可执行程序，也是PE格式的文件，但是它不能够独立运行，只能够通过其他课运行的程序加载到内存中执行功能）。...动态链接库提供了一种方法，使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个DLL中，该DLL包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。...虽然动态链接库不能运行，但是同一个动态链接库可以同时被多个进程加载到内存中，并且执行DLL中的功能。...计算机病毒通常将病毒代码写到一个DLL文件中，然后想尽一切办法将此病毒代码加载到系统的某个进程中，如Explorer.exe桌面进程，这样Explorer.exe就会运行病毒代码了。

6882 0

动态库与静态库：深入解析与应用

更新困难：如果库代码需要更新，必须重新编译所有依赖该库的程序。内存占用：每个程序都会加载自己的库代码副本，导致内存占用增加。 4....动态库的工作原理动态库在程序运行时被加载到内存中。链接器在运行时解析库中的符号，并将它们映射到程序中。动态库的代码在内存中共享，多个程序可以同时使用同一个库实例。 2....动态库的优点体积小：可执行文件中不包含库代码，因此体积较小。易于更新：库代码独立于可执行文件，更新库文件后，所有依赖该库的程序都会自动受益。...存在被篡改的风险四、如何选择静态库或动态库选择静态库还是动态库取决于具体的应用场景和需求：独立性优先：如果程序需要在不同的环境中运行，且不需要频繁更新，静态库是更好的选择。...file1.o file2.o 在 Windows 系统中，可以使用 Visual Studio 的项目设置生成 .dll 文件。

1180 0

计算机底层知识之运行环境&可执行文件

❞ 开机后，BIOS会确认「硬件是否正常运行」，没有问题的话就会启动「引导程序」。引导程序的功能是把在硬盘等记录的OS加载到内存中运行。 ---- 源代码完成后，就可以编译生成「可执行文件」了。...把多个目标文件结合，生成1个EXE文件的处理就是「链接」，运行链接的程序就是链接器Linkage Editor。 ---- DLL文件及导入库 Windows以「函数的形式」为应用提供了各种功能。...在调用函数时，程序的处理流程就会跳转到存储着函数处理内容的内存地址上。EXE文件作为本地代码的程序，并没有指定变量及函数的「实际内存地址」。...在类似于Windows操作系统这样的可以加载多个可执行程序的运行环境中，每次运行时，程序内的变量及函数被分配到的内存地址都是不同的。...使用DLL文件的好处 DLL文件中的函数可以被「多个程序共用」。因此，「借助该功能可以节约内存和磁盘」。此外，在对函数的内容进行修正时，还不需要重新链接使用这个函数的程序。

1.1K2 0

Bypass-UAC（用户帐户控制）的那些事

如果管理员不允许更改，则不会执行这些更改，并且Windows系统保持不变。 3.UAC如何运行？ UAC通过阻止程序执行任何涉及有关系统更改/特定任务的任务来运行。...一些没有管理员权限无法完成的操作：注册表修改（如果注册表项在HKEY_LOCAL_MACHINE下（因为它影响多个用户），它将是只读的）加载设备驱动程序 DLL注入修改系统时间（时钟）修改用户帐户控制设置...但这只是dll劫持的其中一种途径，他有这些途径：（1） DLL替换：用恶意的DLL替换掉合法的DLL （2） DLL搜索顺序劫持：当应用程序加载DLL的时候，如果没有带指定DLL的路径，那么程序将会以特定的顺序依次在指定的路径下搜索待加载的...恶意内存代码直接生成纯shellcode，通过其他方式加载到内存执行。...5.Windows权限升级绕过UAC保护（通过COM处理程序劫持）此模块将通过在hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。

1.9K2 0

模拟隐蔽操作 - 动态调用（避免 PInvoke 和 API 挂钩）

我们不是使用 PInvoke 来导入我们想要使用的 API 调用，而是手动将 DLL 加载到内存中。这可以使用您喜欢的任何机制来完成。然后，我们得到一个指向该 DLL 中的函数的指针。...这让 Delegate 在调用函数时知道如何设置 CPU 寄存器和堆栈。如果将此与通常在 C# 中从内存中调用非托管代码的方式（通过自注入 shellcode）进行比较，这会容易得多！...如果没有，它会使用将模块加载到进程中LoadModuleFromDisk，该进程使用 NT API 调用LdrLoadDll来加载 DLL。...MapModuleToMemoryAddress：手动将内存中的模块（包含在字节数组中）映射到内存中的特定位置。...更喜欢将代码隐藏在通常存在的位置，例如文件支持的部分。完成手动映射模块后，将它们从内存中释放，以避免内存扫描器。任何设计决策都无法确保您的工具无法被检测到。为您的攻击性工具构建威胁模型。

2.1K0 0

PE文件结构

没有新的结构加进去，其余的改变只是简单地将以前的32位字段扩展成64位。对于C++代码，Windows文件头的配置使其拥有不明显的区别。...当PE文件通过Windows加载器被装入内存后，内存中的版本被称作模块（Module）。映射文件的起始地址被称为模块句柄（hModule），可以通过模块句柄访问内存中其他的数据结构。...（10）ImageBase：文件在内存中的首选装入地址（基地址）。如果有可能（也就是说，目前如果没有其他占据这块地址，它是正确对齐的并且是一个合法的地址，等等），加载器试图在这个地址装入PE文件。...重定位表当链接器生成一个PE文件时，它假设这个文件执行时会被装载到默认的基地址处，并且把 code和data的相关地址都写入PE文件中。如果装入时按默认的值作为基地址装入，则不需要重定位。...但如果可执行文件被装载到虚拟内存的另一个地址，链接器所登记的那个地址就是错误的，这时就需要用重定位表来调整。在PE文件中，它往往单独分为一块，用“.reloc”表示。

2521 0

.Net，Dll扫盲篇，如何在VS中调试已经编译好的dll？

什么是Dll？ DLL 是一个包含可由多个程序同时使用的代码和数据的库。例如，在 Windows 操作系统中，Comdlg32 DLL 执行与对话框有关的常见函数。...因此，每个程序都可以使用该Dll中包含的功能来实现“打开”对话框。这有助于促进代码重用和内存的有效使用。通过使用 DLL，程序可以实现模块化，由相对独立的组件组成。...通俗来讲，一个项目由多个模块组成。可以在运行时将各个模块加载到主程序中（如果安装了相应模块）。...当你点击该选项的时候，这个插件会把这个dll的代码给转成本地的文件，.NET Reflector首先会尝试定位本机上的PDB文件，如果没有则会自己创建PDB文件，这才能进行调试。 ?...有些代码，经过加壳混淆，反编译出来的东西很尴尬。那么，关于对dll加密这方面的东西，大家如果有兴趣，可以自行百度了解下。

4.4K2 0

PE数据目录表解析

写的过程中总结一下常用到的基础知识：基地址（ImageBase）：当PE文件通过Windows加载器载入内存后，内存中的版本称为模块，映射文件的起始地址称为模块句柄，可通过模块句柄访问内存中其他数据结构...虚拟地址（VA）：在Windows系统中，PE文件被系统加载到内存后，每个程序都有自己的虚拟空间，这个虚拟空间的内存地址称为虚拟地址。...如图，当文件被映射到内存中时，MS-DOS头，PE头和块表的偏移位置都没有改变，但是当区块被映射到内存中后，其偏移地址就发生了改变。...导入函数就是被程序调用但其执行代码不在程序中的函数，这些函数在DLL文件中，当应用程序调用一个DLL的代码和数据时，它正被隐式地链接到DLL，这个过程由Windows加载器完成。...，多个DLL文件使用调用其本身的EXE文件的地址空间，不能保证ImageBase所指向的地址没有被其他DLL文件占用，所以DLL文件当中必须包含重定位信息，也就是说，本来A.DLL被加载到test.exe

1.8K2 0

com组件与dll的区别_组件对象模型

动态加载dll的优点： 1.DLL可节省内存并减少交换。通过在内存中共享 DLL的单个副本，多个进程可以同时使用一个DLL。...相比之下，对于使用静态链接库构建的每一个应用程序，Windows 都要在内存中为其加载库代码的一个副本。 2.DLL 可节省磁盘空间。多个应用程序可以共享磁盘上的一个 DLL副本。...Dll,其它应用程序通过调用你Dll中的引出函数就可以实现代码共享，这样如果你以后升级了你的Dll（保持接口不变），最终用户只要得到这个新的Dll覆盖掉原先的那个旧Dll不用更改任何东西就可以使他机子上的程序保持最新了...比如Dll我是使用Visual C++开发的，里面有异常处理的代码，现在我在Borland C++中使用这个Dll，那么它将无法捕捉到这些异常；再举个例子，如果这个Dll导出了一个类，而这个类在新的...Dll中增加了一些成员变量（也就是说这个类的对象占用的内存增加了），那么在最终用户机子上的原先使用旧的Dll而改用了新的Dll的应用程序如果没有重新编译链接的话会产生非法操作，因为C++的编译模型要求应用程序在编译的时候就需要知道对象占用的空间

1.4K4 0

实战 | 进程启动技术的思路和研究

ETHREAD数据结构，并处理好与EPROCESS的关系(例如进程块中的线程计数等等)。　　...如果要做，比如要访问磁盘，写文件，那就要通过执行系统调用（函数），执行系统调用的时候，CPU的运行级别会发生从ring3到ring0的切换，并跳转到系统调用对应的内核代码位置执行，这样内核就为你完成了设备访问...，这里将session0exe.exe注册到系统服务打开nc.exe到session1 内存加载运行将资源加载到内存，然后把DLL文件按照映像对齐大小映射到内存中，切不可直接将DLL文件数据存储到内存中...然而，成功映射内存数据之后，在DLL程序中会存在硬编码数据，硬编码都是以默认的加载基址作为基址来计算的。由于DLL可以任意加载到其他进程空间中，所以DLL的加载基址并非固定不变。...当改变加载基址的时候，硬编码也要随之改变，这样DLL程序才会计算正确。如何知道硬编码的位置？答案就藏在PE结构的重定位表中，重定位表记录的就是程序中所有需要修改的硬编码的相对偏移位置。

1.1K5 0

PE文件小知识

没有新的结构加进去，其余的改变知识简单的将以前的32位字段扩展成64位了。对于c++代码，windows文件头的配置使其拥有不明显的区别。...当PE文件通过Windows加载器被装入内存后，内存中的版本被称作模块（Module）。映射文件的起始地址被称为模块句柄（hModule），可以通过模块句柄访问内存中其他的数据结构。...（10）ImageBase：文件在内存中的首选装入地址（基地址）。如果有可能（也就是说，目前如果没有其他占据这块地址，它是正确对齐的并且是一个合法的地址，等等），加载器试图在这个地址装入PE文件。...（3）VirtualAddress：区段装载到内存中的RVA。（4）SizeOfRawData：区段在磁盘文件中所占的大小。（5）PointerToRawData：区段在磁盘文件中的偏移。...如果装入时按默认的值作为基地址装入，则不需要重定位。但如果可执行文件被装载到虚拟内存的另一个地址，链接器所登记的那个地址就是错误的，这时就需要用重定位表来调整。

1671 0

内核级木马与病毒攻防:windows恶意代码分析入门

本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。...通常用于打包可执行文件或代码的程序叫upx，可以通过搜索将upx.exe下载到windows系统上，然后执行如下命令： upx StringExample.exe 执行后会看到如下画面： ?...动态方式就是代码在执行时，将DLL加载到内存中，然后调用其中的某些函数，如果我们能读取代码调用了哪些函数就可以很好的判断其目的。...如果加载了Advapi32.dll，那么它有可能操纵注册表，例如实现开机自动运行，如果它加载了WSock32.dll和Ws_32.dll，那么它就要调用socket功能实现网络数据发送，极有可能它会将用户电脑上收集的信息发送给远程服务器...大多数情况下，病毒或恶意代码的创作者会“加壳”，也就是通过前面的upx类似程序将代码打包压缩，这样就能防止别人通过walker这类软件抓取它的加载库从而防止病毒或恶意代码被查杀。

1.4K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云