没有DLL注入的进程的基址?
没有DLL注入的进程的基址是指进程在内存中的起始地址,也称为基址或基址指针。在没有DLL注入的情况下,进程的基址通常是由操作系统分配的,并且在进程启动时保持不变。
DLL注入是一种技术,用于将外部动态链接库(DLL)加载到目标进程的地址空间中,并执行其中的代码。通过DLL注入,可以修改进程的行为,实现一些特定的功能或攻击。
在没有DLL注入的进程中,基址的确定是由操作系统负责的。操作系统会为每个进程分配一块连续的虚拟内存空间,其中包括代码段、数据段、堆和栈等。进程的基址就是这块虚拟内存空间的起始地址。
没有DLL注入的进程的基址具有以下特点:
- 基址是由操作系统分配的,进程无法直接修改。
- 基址在进程启动时确定,并在整个进程的生命周期内保持不变。
- 基址是进程访问内存中其他模块或函数的起点。
在没有DLL注入的进程中,基址的作用是提供了一个相对地址的参考点,使得进程能够正确地访问和调用内存中的其他模块或函数。基址可以通过偏移量与其他模块或函数的地址进行计算,从而实现对它们的访问。
对于没有DLL注入的进程,可以使用一些工具和技术来获取其基址,例如调试器、反汇编工具或内存分析工具。这些工具可以帮助开发人员或安全研究人员分析进程的内存结构和行为。
腾讯云相关产品和产品介绍链接地址:
- 云服务器(ECS):提供可扩展的计算能力,满足不同规模和业务需求的云计算实例。详情请参考:https://cloud.tencent.com/product/cvm
- 云数据库 MySQL 版(CDB):提供高性能、可靠的云数据库服务,适用于各种规模的应用程序。详情请参考:https://cloud.tencent.com/product/cdb
- 人工智能平台(AI Lab):提供丰富的人工智能开发工具和服务,帮助开发者构建和部署 AI 应用。详情请参考:https://cloud.tencent.com/product/ailab
- 物联网套件(IoT Suite):提供全面的物联网解决方案,包括设备接入、数据管理、应用开发等功能。详情请参考:https://cloud.tencent.com/product/iot-suite
- 云存储(COS):提供安全、可靠、低成本的云存储服务,适用于各种数据存储和备份需求。详情请参考:https://cloud.tencent.com/product/cos
- 区块链服务(BCS):提供一站式区块链解决方案,帮助用户快速搭建和管理区块链网络。详情请参考:https://cloud.tencent.com/product/bcs
相关·内容
我正在尝试将DLL干净地注入到前台窗口的进程中,从这个DLL调用简单的函数,然后干净地卸载DLL。我的注射代码:
HWND fgwnd = GetForegroundWindow();
DWORD cur_thread = GetCurrentThreadId();
DWORD fg_pid = 0;
DWORD fg_thread = GetWindowThreadProcessId(fgwnd, &fg_pid);
BOOL res = 0;
const char* inj_path = "C:\\Users\\pc\\source\\repos\\hothook\\
浏览 10提问于2022-07-11得票数 -1
1回答
C++函数钩
、、、、
我有DLL的源代码。编译的DLL由应用程序加载。该应用程序还加载了其他几个DLL。我已经从应用程序和所有DLL分解asm代码,但我只有一个DLL的源代码。应用程序和所有DLL都是一个进程。
我想在我有源代码的DLL中编写一个函数钩子。我想从另一个DLL中挂起函数。所有其他DLL和应用程序以及我编译的DLL都应该调用这些挂钩函数(不应该调用原始函数)。
问题是,我不能直接连接一个DLL,因为它不是自己的进程。不知何故,我不得不挂起DLL,它被加载到应用程序中。怎么做?
作为参考,我不能用一个DLL的偏移量挂起一个函数,因为函数在应用程序的内存中,而不是在DLL进程本身的内存中!
浏览 4提问于2011-07-10得票数 0
1回答
我喜欢将DLL注入进程,因为我可以更改程序的某些值。
dll唯一的缺点是它们不是非常可移植的友好的,并且使它们可移植消耗了大量的代码。
我只是想知道,是否可以将存储在资源中的应用程序注入(到进程中),然后再执行它?
如果是这样的话,哪些代码部分可能不同于dll的注入?
浏览 1提问于2012-07-02得票数 1
回答已采纳
2回答
我想调用我创建的注入DLL的远程进程中的函数。
我已经成功地将我的DLL注入:
CreateRemoteThread(pHandle, NULL, 0, (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("kernel32"), "LoadLibraryA"), pLibRemote, 0, NULL);
执行DllMain,并在待机模式下运行。我想要做的是以某种方式调用远程加载的DLL,以便做一些工作。
我尝试过像这样导出函数:
extern "C" __declspec(dllexp
浏览 8提问于2012-04-08得票数 5
回答已采纳
我最近开始了一个新的项目,我的目标是将字节码注入另一个进程,然后启动一个远程线程来执行我的字节码,但是我遇到了一个非常奇怪的问题。
它所做的是分配和写入任意进程的内存,它编写一个包含指向远程进程的user32.dll和kernel32.dll中函数的指针的结构,它还从该结构中编写函数指针的调用操作,然后创建一个具有“调用操作”的lpStartAddress的远程线程
你可以在这里找到源代码:
在第55行(第185行的方法)上调用GetPrivileges时,它返回true表示OpenProcessToken、LookupPrivilegeValue和AdjustTokenPrivileges返
浏览 0提问于2014-06-17得票数 2
到目前为止我所做的:
我是在Aphex的单元里找到的。
我还使用它浏览了一堆有趣的示例代码:
(如何将DLL注入另一个进程)。
(如何使用Ex方法将DLL注入另一个进程)。
(如何使用Ex方法将DLL注入创建的进程)。
(InjectLibraryEx的真正功能:注入EXE文件的能力)。
(如何使用afxcodehook钩子操作对windows的调用)。
我还读到:
Embarcadero的RAD帮助在和
维基百科的页面。
问题:
我从经验丰富的德尔福程序员那里寻求一个有见识的意见,并从经验丰富的德尔福程序员那里得到一个简单的解释,用莱曼
浏览 3提问于2012-04-19得票数 3
回答已采纳
我正在尝试获取.dll中函数的句柄。我正在创建一个CreateToolHelp32Snapshot,然后枚举模块,直到我找到我想要的那个,从那个.dll中我想找到一个特定的函数。如何正确调用GetProcAddress(),以便在“that”.dll中获取函数,而不是在另一个可能正在运行的实例中获取函数?
上面问题的续篇是,好的,我有一个函数的句柄,我该如何实际调用它?
编辑:如前所述。我已经在第三方应用程序地址空间了。如果getprocaddress不起作用,我如何使用readprocessmemory和必要的偏移量获取函数的入口点?
谢谢。
HANDLE h_th_32snap = Cr
浏览 2提问于2011-01-07得票数 0
我有一个Delph 6 DirectShow应用程序,可以通过套接字与Skype交换音频。当运行DirectShow过滤器链时,我在一个由Filter加载的DLL启动的线程中得到了一个间歇性的访问冲突。DLL不属于我,所以我没有源代码。
我检查了事件日志,并在运行筛选图时看到了相关的摘录:
Thread Start: Thread ID: $00000804. Process Test.exe ($CE4)
Module Load: QCap.dll. No Debug Info. Base Address: $757F0000. Process Test.exe ($CE4)
Thread
浏览 1提问于2011-11-29得票数 1
1回答
SetWindowsHookEx的文档说,
如果应用程序需要在其他进程中使用钩子,则需要32位应用程序调用SetWindowsHookEx将32位DLL注入32位进程,而64位应用程序调用SetWindowsHookEx将64位DLL注入64位进程。
这强烈地意味着,在调用钩子过滤器回调时,运行的是挂接应用程序挂钩DLL副本中的代码。
但是,当我安装钩子时,我需要传递一个函数指针到我的过滤器回调函数。这强烈地意味着,在调用钩子时,安装钩子的是应用程序中的代码。这是因为一个进程的地址空间中的函数指针在另一个进程的地址空间中无效。
那是哪一种?当调用钩子过滤器回调时,实际运行的代码是目标(钩子)
浏览 2提问于2020-04-15得票数 0
回答已采纳
客户要求我将OpenSSL添加到他们基于Windows CE5.0的产品中。它们需要OpenSSL才能在FIPS模式下运行,而FIPS模式需要库在编译时的已知地址。如果我构建一个EXE没有问题,因为我总是可以依赖于EXE的基地址0x10000,FIPS模式检查使用它来验证EXE。
我遇到的问题是,我需要将OpenSSL代码构建到一个动态链接库中,该动态链接库是从另一个动态链接库调用的,该动态链接库是由调用其他动态链接库的主应用程序EXE调用的。那么我如何知道我的DLL运行时的地址呢?
我知道如何使所有这些工作的唯一方法是,如果有问题的DLL弹出一个消息框或将其某个函数的地址写入磁盘,然后我可以
浏览 0提问于2016-10-08得票数 2
我想我的代码现在终于可以工作了。唯一的问题是,由于某些原因,即使我用PROCESS_ALL_ACCESS打开了进程,CreateRemoteThread还是抛出了一个错误: ERROR_ACCESS_DENIED。
错误是用GetLastError检索到的,它会输出'5',翻译过来就是ERROR_ACCESS_DENIED。
#include <iostream>
#include <windows.h>
#include <TlHelp32.h>
char* dllPath = "C:\\Users\\Kalist\\Deskto
浏览 0提问于2015-07-01得票数 2
我正试图将CBT钩子挂在Windows OSes上。我目前使用的是Windows7 x64。
我读过很多关于这个问题的帖子,但没有一个能解决我的问题。应用程序运行良好;钩子已经安装,我可以看到一些通知即将到来。
实际上,出现的问题是,应用程序没有收到关于运行在同一台计算机上的其他进程的CBT挂钩的通知。
应用程序是用C#编写的(使用Microsoft .NET)。下面是一个正在运行的示例:
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Diagnostics;
浏览 0提问于2010-06-26得票数 2
回答已采纳
我有一个作为Windows服务运行的应用程序。今天,我接到通知说服务死了。我找到一个事件查看器条目,它的基本信息是:故障模块kernel32.dll,版本6.0.6002.18740,时间戳0x50b58c3d,异常代码0xc0000005,故障偏移量0x0003fc2e
我确信我的代码中有一个bug。我可以根据偏移量确定kernel32.dll函数(异常来自哪里)吗?我计划在我的代码中回溯到调用。
浏览 0提问于2013-07-23得票数 5
当在cygwin中遇到dll/分叉错误时,我调用rebaseall脚本,一切都神奇地再次正常工作。我知道它在某种程度上修改了cygwin安装中的dll,因为我已经在有问题的和重基础的安装之间运行了一个区别。
它在这些二进制文件中到底修改了什么并使它们再次工作呢?
浏览 4提问于2015-10-14得票数 17
回答已采纳
1回答
通过检查windows机器中的几个DLL(例如,KERNEL32.DLL),我注意到它们的任何部分,甚至是只读数据部分都没有设置IMAGE_SCN_MEM_SHARED标志。
.dll是从.dll文件映射的,所以只有当您读取文件的一个页面时,它才被复制到物理内存中,但是如果进程A和进程B都访问了内核32.dll的相同页面,那么该页将两次存在于物理内存中。,我想知道最后这句话的真实性.
如果共享的.text或.rodata段只被复制到物理内存中,即使在启用ASLR时也是如此,因为当模块第一次加载时(应用了相应的重定位),ASLR所做的是随机化模块的基础,但是下一个加载该模块直到系统重新启动的进程
浏览 2提问于2016-12-24得票数 6
回答已采纳
我正在尝试编写一个使用CreateRemoteThread注入动态链接库的程序。
问题是CreateRemoteThread拒绝工作。GetLastError()返回5,即ERROR_ACCESS_DENIED。我不明白为什么!
我正在从这个视频工作。
#include <iostream>
#include <direct.h>
#include <Windows.h>
#include <TlHelp32.h>
using namespace std;
char* GetCurrentDir()
{
char* szRet
浏览 4提问于2012-02-27得票数 7
我一直认为.dll的工作方式和linux中的.so一样,
但有些文章说没有。
windows是否确保内存只包含一个副本--与linux中相同的dll?
我不知道如何亲自检查窗户,所以我只能在这里询问。
更新
有人知道如何手动验证吗?
浏览 9提问于2011-06-11得票数 2
假设两个进程正在使用Kernel32.dll,Windows是否将DLL映射到两个进程中相同的虚拟地址空间?如果没有,分页机制将如何使用相同的物理地址,其中DLL实际上是为两个进程加载的?我试着在windows内部书中找到这个信息,但什么也没找到
浏览 12提问于2022-03-20得票数 1
回答已采纳
为了调试的目的,我正在努力将地址映射到它们的符号(获取callstack)。MS dbghelp.dll可以区分符号和地址(参见SymFromAddr,)。然而,它不工作,我想知道它是如何工作的,因为地址似乎随着程序的每次运行而改变:
#include <iostream>
void Foo() {}
int _tmain(int argc, _TCHAR* argv[])
{
const long unsigned int addr = reinterpret_cast<long unsigned int>(&Foo);
std::cout
浏览 0提问于2013-04-25得票数 4
回答已采纳
4回答
如果您查看以下简单DLL注入的工作代码:
//Open the target process with read , write and execute priviledges
Process = OpenProcess(PROCESS_CREATE_THREAD|PROCESS_QUERY_INFORMATION|PROCESS_VM_READ|PROCESS_VM_WRITE|PROCESS_VM_OPERATION, FALSE, ID);
//Get the address of LoadLibraryA
LoadLibrary = (LPVOID)GetPr
浏览 1提问于2014-03-30得票数 24
回答已采纳
我一直在搜索,但没有找到一个假定的编译器标志或某种东西,它允许我构建我的FORTRAN DLL (使用英特尔Visual Fortran Composer XE 2013编译器),以便每次加载随机基址。我在C++代码中显式地加载了我的FORTRAN DLL,加载/卸载都很好,但我只是注意到它每次加载到的地址是完全相同的位置。我想知道这是否就是为什么当我同时多次运行我的程序时,有时我的FORTRAN DLL加载成功,而另一些时候加载失败。英特尔Fortran编译器是否有随机基址编译器选项?我已经阅读了它的发行说明,但也没有运气。
浏览 0提问于2013-01-17得票数 0
回答已采纳
1回答
C# dll注入不加载dll
、、、、
我知道这里有一些类似的问题,但是没有一个解决了我的问题。
因此,我正在编写一个用于低级别进程间操作的c#框架,包括一个dll注入功能。
在调用我的注入器之前,我已经使用具有notepad++.exe权限的OpenProcess()连接到目标进程(在本例中是PROCESS_ALL_ACCESS )。下面是我的注入器代码(我知道,由于所有调试打印,可读性受到了很大的影响):
public void Inject(string dllName, bool printDebugInfo)
{
// Check if we are attached to the process.
tar
浏览 2提问于2020-05-06得票数 0
回答已采纳
3回答
我有个小问题。我已经将DLL加载到进程中(它不是我的),并且我必须在其中使用函数。我已经得到了这个函数的偏移量,所以我只需要做的就是获得DLL地址,并将偏移量添加到这个函数中。GetModuleHandle()返回HMODULE变量,但实际上我不知道HMODULE是什么。它是加载的DLL的地址还是某种其他标记?
如果它不是加载DLL的地方的地址,我如何获得这个地址?我希望我说得很清楚。
浏览 0提问于2012-03-03得票数 17
回答已采纳
1回答
这种现象是这样的。
我正在尝试实现dll注入。我的应用程序创建处于“挂起”状态的进程(使用CreateProcess和CREATE_SUSPENDED),等待加载一个重要的dll (当然是kernel32.dll),然后执行注入。注入后使用ResumeThread恢复挂起的过程。
我使用挂起的进程创建,希望在除dll加载之外的任何其他执行之前注入dll。但是在执行这个过程中,我发现了一些有趣的东西。
我使用notepad.exe简单地测试了这个注入,它运行得很好。但是,当我将可执行文件复制为notepad2.exe时,我的注入将等待无限的时间。在进程的主线程恢复之前,Kernel32.dll永
浏览 3提问于2015-05-04得票数 1
在一篇关于Windows调试和CrashFinder应用程序的文章中,John Robbins说:“您应该将REBASE.EXE作为构建过程的一部分来运行,以确保总是这样做。”(Bugslayer,微软系统杂志,1998年4月,)
我想知道为了调试的目的而重新建立基础是否值得麻烦。
还有一个类似的问题,但它与调试目的无关,而是与加速DLL加载有关。
浏览 1提问于2011-06-14得票数 1
回答已采纳
1回答
我已经将一个DLL注入到程序中,以便在应用程序主窗口上实现一个聊天UI。我想我可以获得应用程序的主窗口句柄,然后获得它的DC,并在其上绘制。该窗口有一个可预测的标题,这意味着我可以使用FindWindow来获取句柄。唯一的问题是,DLL是在进程启动时注入的。此时,该窗口尚未创建。这意味着FindWindow什么也找不到!
对此有什么解决方案?我是否可以在DLL中创建一个线程并休眠一段时间,直到我知道窗口已经创建?这看起来非常不稳定,所以我不想这么做。
我尝试做的是在DLL中使用SetWindowsHookEx来挂钩全局WndProc。我可以扫描这些消息,直到在我的窗口中找到一条消息(这意味着它
浏览 2提问于2012-06-21得票数 0
回答已采纳
我已经写了DLL注入器。我使用CreateRemoteThread注入我的动态链接库进行处理,一切正常。现在我正在尝试注入动态链接库来处理未公开的函数-- NtCreateThreadEx。我已经写了注入器,但他不工作。
当我使用32位注入器向32位进程注入32位动态链接库时,一切工作正常。问题是当我使用64位注入器向64位进程注入64位DLL时。
我的DLL代码:
#include <windows.h>
///Compilation with option -m64
extern "C" BOOL __stdcall DllMain(HMODULE hDLL
浏览 0提问于2016-03-11得票数 2
2回答
当用户打开任何新的进程时,我试图将进程创建挂钩,并在我的钩子过程中接收一个“通知”。为了只挂一个函数,我尝试在CsrCreateProcess at csrss.exe中完成这个任务。但是每次我在这个进程中注入一个DLL时,我都会得到一个BSOD (蓝色屏幕)。我的注射代码是:
function Inject(DLL: PAnsiChar; ProcessID: Cardinal):Boolean;
var
lProcess: THandle;
lMem: Pointer;
lLibrary: Pointer;
Bytes: NativeUInt;
lThre
浏览 4提问于2014-07-07得票数 2
回答已采纳
2回答
Asm调用指令-它是如何工作的?
、、、、
我希望有一个清晰的解释,在Windows环境(PE可执行文件)中,如何调用XXXXXXXXXXXXXXX指令工作。我一直在研究PE格式,但我对调用地址指令、从DLL导入函数以及调用地址如何到达dll中的代码之间的关系感到相当困惑。除了ASLR和其他安全功能可能会在DLL之间移动之外,可执行文件如何应对这种情况?
浏览 0提问于2013-01-20得票数 5
回答已采纳
1回答
DLL注入始终失败,错误不一致。
、、、、
我试图在C# WPF应用程序中编写DLL注入器。我以前用Windows窗体编写了一个DLL注入器,但是我想从头开始编写一个新程序。我曾多次用其他语言(使用传统的VirtualAllocEx / WriteProcessMemory / CreateRemoteThread方法)编写DLL注入器,但遇到了一些特殊的问题。我的DLL注入器说它是成功的,但是我的测试程序没有变化。我用Marshal.GetLastWin32Error()做了一些测试,得到了VirtualAllocEx、WriteProcessMemory和CreateRemoteThread的结果。然后,我在C++中创建了一个喷射器
浏览 7提问于2019-10-11得票数 2
回答已采纳
好的,我使用“技巧”将一些代码注入到另一个进程中。
我最终得到了一个线程id,一个带有我选择的DLL的进程开始旋转。至少在理论上,DLL目前什么也不做,所以验证这一点有点棘手。就目前而言,我愿意仅凭信心接受它。此外,在我向这个方向努力之前,这个问题需要得到回答。
基本上,你不能在DllMain中阻塞。但是,我要与远程线程通信的只有它的id。这实际上要求PostThreadMessage/GetMessage恶作剧阻塞。我可以在DllMain中启动另一个线程,但是我没有办法将它的id传递回创建线程,也没有办法将另一个线程的id传递给远程线程。
简而言之,如果我在一个进程中创建一个远程线程,我应该
浏览 0提问于2009-07-21得票数 1
回答已采纳
我已经写了一个注入dll的程序。我正在使用RltCreateUserThread。有没有人能告诉我我做错了什么。我可以在进程中注入dll,但注入的dll在注入到与我的当前权限相同的进程时会产生一个cmd shell,但当我将它们注入到系统/本地服务帐户进程中时,它不会产生shell。我使用的是来自ReactOS的Didier Stevens的cmd.dll。我正在尝试在32位的Windows 7中执行此操作。
#include <Windows.h>
#include <stdio.h>
#include <stdbool.h>
typedef stru
浏览 2提问于2016-06-22得票数 1
3回答
我想在64位操作系统上执行系统范围的钩子(使用SetWindowHook)。
我知道64位进程(= proc64)只能加载64位dll (= dll64),而32位进程(= proc32)只能加载32位dll (= dll32)。
目前我计划调用SetWindowHook两次,一次使用dll32,一次使用dll64,期望proc64s加载dll64,proc32s加载dll32 (而proc64s的dll32和proc32s的dll64将失败)。
这是正确的方法吗,还是有一种“更正确”的方法?
谢谢!:-)
浏览 11提问于2011-02-28得票数 2
回答已采纳
1回答
在运行过程中注入DLL或exe程序是正常的吗?注入后,我能够读取显示注入的DLL/exe内容的进程内存。
浏览 2提问于2018-05-04得票数 0
回答已采纳
主程序调用wi.dll中的函数SetHook来安装全局WH_CBT挂钩。
bool WI_API SetHook()
{
if (!g_hHook)
{
g_hHook = SetWindowsHookEx(WH_CBT, (HOOKPROC) CBTProc, g_hInstDll, 0);
}
return g_hHook != NULL;
}
我认为在安装全局钩子之后,应该将wi.dll加载到每个进程的地址空间中。但是,wi.dll仅加载到某些进程中。例如,如果我启动Skype,MS Word,我可以看到wi.dll也加载到这些进程中(使
浏览 3提问于2010-03-22得票数 1
回答已采纳
1回答
我正在尝试使用LVM_GETITEMPOSITION设置/获取桌面图标的位置。设置位置按预期工作,但获取位置不是这样。
当我发送消息(DeskHandle,LVM_GETITEMPOSITION,1,ppt);资源管理器崩溃时,这显然是因为ppt在我的进程中是唯一有效的地址,所以我需要向资源管理器的内存地址空间注入一个dll。这就是我再次陷入困境的地方
问题是返回的位置始终为0,0
dll:
library Project2_dll;
uses
SysUtils,Classes,windows,messages,dialogs,commctrl;
{$R *.res}
procedu
浏览 0提问于2012-09-12得票数 1
1回答
我正在实现一个.NET应用程序。
它用P/Invoke设置了一个全局挂钩P/Invoke到SetWindowsHookEx。
钩子回调过程驻留在一个独立的dll hook.dll中。
当我启动另一个.NET应用程序Victim.exe时,成功地钩住了键击。
据我所知,这个hook.dll应该以任何键攻击侵入其他进程空间。
但我没有在Victim.exe进程的加载模块或当前应用程序域引用的程序集中找到它。
是否有任何方法来指示是否注入了hook.dll?还是完全错了?
浏览 1提问于2014-01-22得票数 0
回答已采纳
我用c++写了一个dll,用c++写了另一个exe文件。我将我的dll和cpp中的exe注入到例如wordpad.exe中。但是这并不是我想要的,所以我想调试我的dll。我在一个解决方案中同时编写了我的dll和我的exe,当我将断点放在这两个文件中时,我的exe开始调试,但我的dll中的断点出现错误,显示“断点将不会被命中。没有符号已被加载”。我在互联网上做了大多数解决方案,并将我的dll pdb文件放在正确的文件夹中,但它不工作。
顺便说一句,我所有的项目都是在visual studio 2010中编写的。有谁能帮帮我吗?
浏览 0提问于2014-08-15得票数 0
这张图片显示了我的应用程序地址空间中的碎片。有没有办法强制(第三方) dll镜像(紫色)结合在一起以消除(或减轻)碎片?
这个应用程序将在32位XP上运行;显然,当我们最终迁移到64位Windows7时,这个问题将会消失。
谢谢!
浏览 6提问于2010-01-26得票数 2
1回答
好的,我正在学习Windows,以及如何创建线程/进程以及获得调试权限等等,所以如果这是一个愚蠢的问题,我很抱歉。
无论如何,我正在创建一个.dll注入器来运行,并且已经成功地注入了32位和64位进程,包括通过注入我的.dll文件的explorer.exe。但是,我正试图在标准用户模式下测试这一点,并且在如何解决这个问题上遇到了问题。
现在,我正在为.dll和injector.exe编译为injector.exe。我正在尝试注入一个x64进程,主要是explorer.exe (用于管理)。使用Visual 2012进行一些优化,不显示,不调试(仅在需要时)。OS= Win 7 x64
此外,我
浏览 2提问于2014-04-22得票数 1
回答已采纳
我正在尝试使用SetWindowLong覆盖winmobile任务栏的窗口过程(以便捕获和阻止按下的按钮)。我已经创建了一个类,其中一个方法用于重写,另一个方法用于恢复窗口过程。MessageReceived方法是我用来替换任务栏窗口过程的方法。我的类如下所示:
class ButtonBlocker
{
public delegate IntPtr WindowProc(IntPtr hwnd, uint uMsg, IntPtr wParam, IntPtr lParam);
public static WindowProc newWindowDeleg;
private s
浏览 0提问于2010-01-21得票数 2
回答已采纳
1回答
如何将动态链接库注入任何进程?
、、、、
我正在研究如何将dll注入到windows上的任何进程中。我已经有了一个可以在我自己的程序中工作的代码,比如hello world或者类似的东西,但是其他的程序,比如记事本,calc,chrome等等。 程序可以防止dll的注入,所以我不知道我可以做些什么来绕过它。 我的最终目标是挂钩任何程序的api调用。 这个领域对我来说是新的,所以我在这里是一个初学者,如果你有任何关于它的资源或解决方案! injector.cpp #include <iostream>
#include <Windows.h>
int main()
{
// path to our d
浏览 14提问于2019-10-14得票数 6
回答已采纳
1回答
DLL是如何解决其IAT的?
、、、、
当我在我的进程中加载dll时,dll如何解析它导入的函数的地址?我尝试在GetProcAddress和LdrGetProcedureAddress上设置断点,但没有在那里中断。
请谁来解释一下。
浏览 2提问于2012-05-21得票数 0
回答已采纳
我支持一个产品,当按下它来启动通知警报时,它可以检测到唯一的组合键。这种监视是由注入的dll完成的。最初这是专门针对winlogon.exe完成的,但由于Vista中的一些更改,我们在AppInitDLL中添加了对dll的引用,以便将其注入到每个正在运行的进程中。
这在我最新的开发机器上不起作用,客户端机器上的一些行为模仿了这种行为。列出的另一个dll,C:\Windows\system32\nvinitx.dll,仍然可以正确加载,但我的不是。
是否有任何已知的最新安全补丁可能会影响这一点?
浏览 0提问于2011-08-19得票数 3
回答已采纳
1回答
C++注入码
、、、、
(有关我所指的整个代码,请参见下面)
我试图在VisualWeb2010Express中运行这段代码(),以便将代码注入explorer.exe,但是当我从命令行运行它时,它会返回"Error!“这意味着线程作为0返回。我假设
LPVOID DataAddress = VirtualAllocEx(p, NULL, sizeof(PARAMETERS), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(p, DataAddress, &data, sizeof(PARAMETERS), NULL
浏览 2提问于2015-06-10得票数 0
1回答
我希望分析内存泄漏的网页应用程序部署在蔚蓝。
引用以下urls
我们能够提取内存转储并分析它们。但是,由于我们无法在收集转储时注入LeakTrack dll / enable内存泄漏跟踪,所以我们收到消息说,由于在执行内存分析时没有注入dll,所以没有执行泄漏分析。
请建议如何通过分析此场景中的转储来查找内存泄漏。
浏览 1提问于2018-03-09得票数 3
回答已采纳
看完这些概念后,我很困惑,想举个例子,这样dll链接/劫持和dll注入的概念就很清楚了!dll被劫持/钩住了?!
请帮我举个例子!
浏览 0提问于2017-11-10得票数 0
回答已采纳
3回答
我制作了一个程序,从一个进程的加载dll (模块)中读取X字节,并对它们进行散列比较,并将它们与硬编码的干净散列进行比较。模块的基本地址总是相同的(在XP和7上由不同的人在几台不同的计算机上测试),散列也总是一样的。
但是对于一个人来说,基本地址总是不同的,散列也总是不同的(每次运行都不同)。他正在使用Windows 7终极版。
我的问题是:
为什么模块的基址总是不同的?我知道可以在不同的地址加载dll,但是是什么触发了这种行为?()基地址总是0x02XXXXXX类型,而其他人得到的不变地址是0x6F000000。
为什么散列不匹配?即使模块加载在不同的地址,我仍然从base+some
浏览 3提问于2014-07-08得票数 1
回答已采纳
1回答
我已经创建了一个库来使用各种方法将DLL文件注入进程。我正在使用Windows窗体用GUI测试它。
除了使用QueueUserAPC之外,所有方法都按预期工作。当我尝试使用此方法时,我要将DLL注入到崩溃中的进程。
我创建了一个基本的控制台应用程序,用于在Windows窗体之外测试此方法,它按照预期工作,不会导致进程崩溃。此外,我的错误检查告诉我,当使用来自Windows的QueueUserAPC方法时,DLL正在注入而没有任何错误,但是进程仍然崩溃。
我有一种感觉,当使用Windows时,进程崩溃的原因与QueueUserAPC方法的代码以及更多有关Windows窗体权限的代码无关。但是,我
浏览 0提问于2018-10-20得票数 0
回答已采纳
3回答
微软的ASLR很奇怪
、、、
我看了一个ASLRed dll图像的32位进程的基于地址。
这不是完全随机化的。它只是随机化了1/2概率。
例如,一旦加载了dll,映像就加载到0x12345678上。
我再次加载图像,图像加载在0x23456789.(Base上,地址被更改!)
但是我又加载了图像
0x12345678
0x23456789
0x12345678
0x23456789
..。
他们为什么要这样实施呢?
这是一个崩溃报告的频率吗?(用于获得相同的重新部署的dll的崩溃地址)
浏览 1提问于2010-09-07得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
