开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Delphi 7:函数在dll中调用时崩溃,在exe中工作

在Delphi 7中，如果一个函数在DLL中调用时崩溃，而在EXE中工作正常，这可能是由于以下原因导致的：

导出函数的问题：确保在DLL项目中导出函数时使用了正确的方法。在Delphi 7中，可以使用exports关键字导出函数。例如：

library MyDLL;

uses
  SysUtils;

function MyFunction(param1: Integer; param2: String): Integer; export;
begin
  // 函数实现
end;

exports
  MyFunction;

内存管理问题：在DLL和EXE之间共享数据时，可能会出现内存管理问题。确保在DLL和EXE中使用相同的内存管理器。在Delphi 7中，可以使用sharemem单元来实现这一点。
参数传递问题：确保在DLL和EXE之间正确传递参数。例如，如果在DLL中使用了不同的数据类型，可能会导致崩溃。
平台和编译器差异：确保在DLL和EXE项目中使用相同的平台和编译器设置。例如，如果在DLL中使用了不同的字符集或调试选项，可能会导致崩溃。
动态链接库路径问题：确保在调用DLL时使用了正确的路径。如果DLL未找到或路径不正确，可能会导致崩溃。
其他依赖项问题：确保DLL和EXE项目之间的所有依赖项都正确配置。例如，如果DLL依赖于某个动态链接库或其他组件，需要确保这些组件在调用DLL时可用。

要解决这个问题，首先检查上述所有可能的原因，并相应地进行调整。如果问题仍然存在，请尝试在Delphi 7的官方支持论坛或社区中寻求帮助。

相关搜索:arangod.exe在Windows7中崩溃 Delphi 2009中的Generic TList <>在IndexOf上崩溃 Delphi 5:在最终的EXE中自动嵌入软件证书 Matlab在MEX函数中崩溃 TThread.Synchronize在Delphi 2009中导致(接近)死锁(在Delphi 7中工作)仅当没有新的函数调用时，才在函数中运行回调回调函数在NodeJS中是如何工作的？在delphi 7中使用IFileOperation 在Delphi 7中通过线程加载多个DLL 在delphi7中安全删除文件

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Delphi 教程

1.点击Project->View Source 可以看到工程的代码 program Project1;

01

lock html路径,lockworkstation

电脑找不到rundll32.exeuser32.dll,LockWorkStatio想要在人离开的时候锁定电脑，可是找不到路径怎么办？已经创建的快捷方注意不要拼写错了，是rundll32.exe user32.dll,LockWorkStation不是LockWordStation。也要注意空格和大小写。实在不行可以用记事本写入 Dim WSHShell Set WSHShell=WScript.CreateObject(“WScript.Shell”) WSHShell.Run “Rundll32.exe user32.dl

00

Delphi中利用SEH屏蔽退出时的Runtime Error

Delphi写的程序，如果在单元的finalization里出现了一些异常操作会导致退出时抛出Runtime Error ，规范的处理办法当然是解决这些异常，但是有些特殊的情况下，比如用了很多的第三方控件，实在没办法解决问题时，只有把他屏蔽掉，这样给客户的时候就不至于看到满天的Runtime Error 了。做法其实很简单，就是在 END.之前手工调用Halt释放，并且将Halt抛出的错误屏蔽掉，这样做和正常的DELPHI释放过程没有任何区别，因为End.编译后其实就是一句话 Call Halt0，只是VCL自己没有屏蔽Halt0里抛出的错误，而是跳出个Runtime Error 来; 　　首先就是位置的问题，如果是EXE的话，直接在END.之前就行了，如果是Dll的话就麻烦点，需要挂上DllProc，当wReason = DLL_PROCESS_DETACH时处理。然后就是如何屏蔽错误的问题了，第一个最容易想到的做法就是直接 Try 　halt except end; 　　但是这样是不行的，因为try…except end捕获的错误都会放到System单元的_HandleOnException中处理，函数检查错误类型是否是DelphiException，如果不是就不处理，这个时候就会被DELPHI的顶层异常机制捕获，并抛出Runtime error，halt里抛出来的错误恰恰就是非DelphiException，代码如下：　procedure _HandleOnException; … 　　CMP [EAX].TExceptionRecord.ExceptionCode,cDelphiException 　　JE @@DelphiException 　　CLD 　　CALL _FpuInit 　　MOV EDX,ExceptClsProc 　　TEST EDX,EDX 　　JE @@exit 　　 CALL EDX 　　TEST EAX,EAX 　　JNE @@common 　　JMP @@exit … End; 所以，需要借助SHE机制来处理这个问题，代码如下：　　asm 　　 //挂上SEH xor edx, edx 　　 push ebp 　　push OFFSET @@safecode 　　push dword ptr fs:[edx] 　　mov fs:[edx],esp 　　//调用Halt0 　　call Halt0 　　jmp @@exit; 　　@@safecode: 　　 //如果出现异常继续调用Halt0退出 call Halt0; 　　@@exit: 　end; 这个做法的好处就是，不会对DELPHI正常释放过程产生影响，所有的释放操作都是和VCL一致的，只是不会把错误显示出来。以下是完整代码：一、EXE的情况，把代码放在工程文件 procedure Halt0; begin Halt; end; begin Application.Initialize; Application.CreateForm(TForm1, Form1); Application.Run; asm 　xor edx, edx 　push ebp 　push OFFSET @@safecode 　 push dword ptr fs:[edx] 　mov fs:[edx],esp 　 call Halt0 　jmp @@exit; 　@@safecode: 　　call Halt0; 　 @@exit: end; end.

04

Delphi调用动态链接库

动态链接库（Dynamic Link Library，缩写为DLL）是一个可以被其它应用程序共享的程序模块，其中封装了一些可以被共享的例程和资源。动态链接库文件的扩展名一般是dll，也有可能是drv、sys和fon，它和可执行文件（exe）非常类似，区别在于DLL中虽然包含了可执行代码却不能单独执行，而应由Windows应用程序直接或间接调用。

02

恶意软件分析– AZORult Info Stealer

AZORult木马家族于2016年首次被发现。该木马是一种高度复杂的恶意软件，可以窃取信息。自2016年以来，已观察到AZORult的不同变体。通过用Delphi和C ++语言重新开发此木马，可以修复早期版本中存在的缺陷和不足。攻击者使用此木马窃取信息，例如浏览历史记录，Cookie，凭据，加密货币信息等。

02

如何查看exe或dll调用了什么dll呢

在Windows世界中，有无数块活动的大陆，它们都有一个共同的名字——动态链接库。现在就让我们走进这些神奇的活动大陆，找出它们隐藏已久的秘密吧！

02

【云+社区年度征文】WinForm引用ActiveX组件，对Com组件的学习

工作中写WinForm程序经常会引用第三方的组件，包括引用Com组件，做了一个桌面程序需要展示PDF，看了些其它的开源组件对PDF的兼容性都不是很好，有些看着PDF是正常的但是复制出来的字有很多乱码。然后就直接引用了adboe pdf reader来显示，测试了不同pdf兼容性算是不错的。那如何引用呢？

04

EmmyLua Attach Debugger浅析

最近一段时间做的工作主要是为引擎提供Lua的IDE，包括编辑智能提示和调试部分。

01

[Delphi]Python For D

Python For Delphi搭建了Delphi和强大的脚本语言Python的桥梁，使用起来非常方便，让Delphi华丽的界面配合Python强大、简洁、稳定的后台逻辑处理能力，让应用程序模块清晰、界面漂亮、后台复杂逻辑不再复杂，大幅提高开发效率。使用的时候出现了一些容易忽视造成的问题，现总结如下。

02

警惕GitHub恶意病毒项目，持续活跃释放远控木马

近期，火绒安全实验室在日常威胁巡视中发现一 GitHub 仓库发布的项目存在病毒风险行为，火绒安全工程师第一时间提取样本进行分析。分析中发现样本会通过多种手段对抗杀软，并最终释放 Remcos 商业远控木马控制受害者机器，且病毒作者仍在积极开发当中。目前，火绒安全产品可对上述病毒进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。

01

Unity与 DLL文件 ☀️| 什么是DLL✨？

先来看一段话： DLL是Dynamic Link Library的缩写，意为动态链接库。 DLL文件一般被存放在C:WindowsSystem目录下。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。　当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。

02

银行木马利用VMvare进行传播

背景介绍银行木马与每个人的日常生活息息相关，可能会对每个人造成直接的经济损失。思科的研究团队Talos近日发现一起针对对南美巴西的银行木马活动。该木马活动的对象主要是南美的银行，通过窃取用户的证书来非法获利。除了针对巴西用户外，还尝试用重定向等方法来感染用户的计算机。令人意外的是，该木马使用了多重反逆向分析技术，而且最终的payload是用Delphi编写的，而Delphi在银行木马中并不常见。感染传播Infection Vector 垃圾邮件与大多数银行木马活动类似，该木马首先利用恶意垃圾邮件进行

08

【操作系统】动态链接库

DLL就是整个windows操作系统的基础。动态链接库不能直接运行，也不能接收消息。他们就是一些独立的文件。

02

测试人员代码分析5步法

前言随着测试行业的发展，测试攻城狮也越来越关注产品的源码了。在很多团队中，读懂代码的实现是做好测试的重要一步，但是读懂代码这件事非常依赖代码能力，没有什么捷径可走。笔者也是这么一步一步过来的，本着为行业添砖加瓦的精神，我总结了几条规律，希望能抛砖引玉。理论篇实际工作中，我们经常面临版本迭代节奏快、需求多、测试时间短、代码量大等现象，当我们决定深入理解代码实现的时候，经常会遇到以下两个问题：如何进行代码分析？优先分析哪些代码？代码分析的关键词：5步法+风险控制+类关系 5步法操作如下： 1、选取分析对

GameEngineArchitecture读书笔记(二)

DLL 很多公司会采用完全的静态链接, 这样比较省事, 也比较安全静态链接通常比较慢(编译时间影响开发效率), 而且EXE也比较大 DLL的话如果不使用interface封装会暴露很多类定义如果使用C++/CLI的话不能使用静态链接库 Debug Release能重现而Debug不能重现的BUG通常是变量没初始化 DMP文件可以方便地重现崩溃时的堆栈调用 Coding 代码规范是一个项目/引擎必须制定的东西, C++标准的缺乏造成每人一种风格习惯 CodeReview其实是统一风格习惯的一种有

05

[re入门]PE文件小知识

那是一个沙尘暴都能上热搜的清晨，我揉了揉眼睛从床上爬起来，顶着一路的艰难险阻来到了实验室，开机，hello 酷狗，登录PC微信，蓝屏。全剧终。

01

sdfsdfsd_dsd cd

这几天一直在研究Delphi 2010的DataSnap，感觉功能真是很强大，现在足有理由证明Delphi7该下岗了。

01

某查询和短信轰炸样本的分析

1.2、密码盗取木马:通过记录用户输入的键盘记录或屏幕截图方式窃取用户的密码或账号信息;

01

c++DLL编程详解

DLL(Dynamic Link Library)的概念，你可以简单的把DLL看成一种仓库，它提供给你一些可以直接拿来用的变量、函数或类。在仓库的发展史上经历了“无库－静态链接库－动态链接库”的时代。静态链接库与动态链接库都是共享代码的方式，如果采用静态链接库，则无论你愿不愿意，lib中的指令都被直接包含在最终生成的EXE文件中了。但是若使用DLL，该DLL不必被包含在最终EXE文件中，EXE文件执行时可以“动态”地引用和卸载这个与EXE独立的DLL文件。静态链接库和动态链接库的另外一个区别在于静态链接库

06

投递恶意lnk使用JwsclTerminalServer实现远程控制和信息获取

拼接字符串，调用bitsadmin.exe从远程服务器将加密后的文件下载到C:\Users\Public\Libraries\ldpwaf目录下，接着调用certutil.exe在本地解密该文件，命令如下：

01

c#中开发ActiveX的学习笔记

1.为什么要用ActiveX? 网页本身的功能是有限的，要想实现一些网页本身不支持的功能，比如：网页上的p2p视频播放，就得靠ActiveX这种古老的技术。 2.c#能开发ActiveX吗？严格意义

05

ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx

___________________________________________________________________________

03

aardio v29.1 支持嵌入执行PowerShell代码

在C#中可以调用PowerShell，其他语言就很麻烦了，好在 aardio 可以方便的调用C#,实际上我们要调用的是 System.Management.Automation.dll，包括微软的 PowerShell.exe 实际上也是调用这个DLL。C#这类开源的代码有很多，在开源项目UnmanagedPowerShell中我提取了PowerShellRunner.cs – 需要用到的只有这一个文件。

04

ShellExecute, WinExec, CreateProcess区别

ShellExecute 　　ShellExecute的功能是运行一个外部程序（或者是打开一个已注册的文件、打开一个目录、打印一个文件等等），并对外部程序有一定的控制。

02

N种内核注入DLL的思路及实现

内核注入，技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL，有的无文件，全部存在于内存中。可能有部分人会说：“都进内核了.什么不能干？”。是啊，要是内核中可以做包括R3上所有能做的事，软件开发商们也没必要做应用程序了。有时，我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事，进程 / DLL是不错的选择，但进程目标太大，所以更多的同学趋向于注DLL。若要开发安全软件、小型工具，可借鉴其思路，Anti Rootkits时，在某些极端情况下，可使用同样的技术发现、清除RK，保证用户电脑的正常使用。在此，我将探讨几种内核注入DLL的思路及实现原理。 (1) APC技术给一个Alertbale的用户态线程插APC，让其执行其中的ShellCode,来执行我们的代码。这个方法简单易行，但是不够稳定，兼容性不好。测试中发现经常出现Explorer.exe等插崩溃的情况，而且有杀软在的情况下，插入有时会被拦截，起不到应有的效果。(可参考我以前逆过的一个驱动：逆向fuck.sys--编译通过--源码) (2) 内核Patch [url=file://KnownDLLs/Kernel32.dll]\\KnownDLLs\\Kernel32.dll[/url] CreateThread [url=file://KnownDLLs/]\\KnownDLLs[/url]是系统加载时对象管理器加载最新磁盘DLL到内存的，当其他进程想调用某个DLL时，就不用重复从磁盘加载了，而会从这里映射一份到自己的进程空间中去。这样给我们做全局Patch提供了一个很好的机会： ZwOpenSection打开 [url=file://KnownDlls/kernel32.dll]\\KnownDlls\\kernel32.dll[/url]，调用ZwMapViewOfSection映射一份到自己进程空间，然后寻找kernel32.dll在内存中代码节的空隙，选择这里作为我们fake函数的存储Buffer。修改CreateThread函数的开头5字节跳转到这个间隙，当系统任何一个线程创建时，会走到CreateThread函数，然后执行空隙中的ShellCode，其负责调用LoadLibrary加载我们的DLL。DLL一经加载，会发IOCTL通知本驱动，让驱动卸载HOOK。这样就完成了内核注DLL的过程。测试时发现Svchost.exe进程调用CreateThread函数很频繁，所以触发也会很快，基本1秒不到就能将DLL加载进去，而我们的HOOK也卸掉了。所以稳定性提高不少。示意图如下：

02

恶意代码分析实战六：熊猫烧香病毒样本分析

因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候，流程都是要先上传杀毒网看看。

02

SpoolFool：Windows Print Spooler 权限提升 (CVE-2022-21999)

早在 2020 年 5 月，微软就修复了一个 Windows Print Spooler 权限提升漏洞。该漏洞的编号为 CVE-2020–1048，微软承认 SafeBreach Labs 的 Peleg Hadar 和 Tomer Bar 报告了该安全问题。在补丁发布的同一天，Yarden Shafir和Alex Ionescu发表了关于该漏洞的技术文章。本质上，用户可以通过创建指向磁盘上文件的打印机端口来写入任意文件。在修补漏洞 (CVE-2020–1048) 后，Print Spooler 现在将在添加端口之前检查用户是否有权创建或写入文件。补丁和博文发布一周后，Paolo Stagno（又名 VoidSec）私下向微软披露了 CVE-2020–1048 的绕过方法。该绕过在三个月后的 2020 年 8 月得到修补，微软承认有八个独立实体报告了该漏洞，该漏洞被确定为 CVE-2020-1337。该漏洞的绕过使用目录连接（符号链接）来规避安全检查。假设用户创建了目录C:\MyFolder\并配置了一个打印机端口以指向该文件C:\MyFolder\Port。该操作将被授予，因为确实允许用户创建C:\MyFolder\Port. 现在，如果用户随后变成C:\MyFolder\指向C:\Windows\System32\创建端口之后的目录连接会发生什么？好吧，Spooler 会简单地写入文件C:\Windows\System32\Port。

03

X86逆向15：OD脚本的编写技巧

本章节我们将学习OD脚本的使用与编写技巧，脚本有啥用呢？脚本的用处非常的大，比如我们要对按钮事件进行批量下断点，此时使用自动化脚本将大大减小我们的工作量，再比如有些比较简单的压缩壳需要脱壳，此时我们也可以写出属于自己的脱壳脚本，以后遇到了对应的壳就可以使用对应脚本快速的搞定，好了废话不多说，开始进入今天的正题吧。

05

beSTORM之DLL Fuzz入门教程

1、beSTORM简介 beSTORM是一款安全评估工具，在开发周期中，供应商可以使用beSTORM全面分析网络软件应用，发现全新和未知的漏洞。 beSTORM通过自动测试数十亿种攻击组合方式，确保产品部署前的安全，为企业节省产品上市后修复安全漏洞产生的成本。以往的安全评估工具使用攻击签名或失败的攻击定位已知的产品漏洞，beSTORM与这些旧式的安全评估工具不同。无论在认证测试还是开发生命周期中，供应商均可以使用 beSTORM 来测试产品。该软件能够定制现有模块，并且添加新模块，以直观和易于使用的环境

07

内核漏洞利用：通过WARBIRD在Windows 10上提升权限

在这篇文章中，我想谈一谈通过基于Windows内核的exploit来提升权限。之所以没有使用像HackSys Extreme Vulnerable Windows Driver这样的东西，是因为想做点不同的事情。恰逢Google Project Zero近期公布了漏洞，由于mjurczyk把漏洞进行了记录，所以感觉便于理解。该漏洞还被Microsoft标记为“Wont-Fix”，意思就是32位的Windows 10 Creator版本仍然存在漏洞。漏洞概览根据披露出的消息，我们可以了解到这个漏洞影响了3

08

白加黑免杀制作（详细）

最近被微步的一篇文章吸引了，里面讲到银狐通过自解压白 exe + 黑 dll 执行截取主线程添加自启动，发现 dll 与普通的免杀有很大的不同，决定自己尝试一下，虽然我之前没有做过白加黑免杀，感觉应该不会太难，但是当我真正尝试的时候才发现很多问题，如：

07

DLL依赖查看神奇CFF Explorer

CFF Explorer是一款优秀的PE资源工具，使用CFF Explorer可以方便地查看和编辑PE（EXE/DLL）资源，类似PE资源工具有eXeScope、ResHacker等。

04

恶意软件分析–恶意宏

据观察，高级持久威胁（APT-C-35）小组总部设在印度，据观察，他们使用鱼叉式网络钓鱼电子邮件瞄准了巴基斯坦的政府和军事人员。该威胁组织已经存在了好几年，对南亚的政治和军事实体进行情报行动。这是APT演员对巴基斯坦政府发起的新一轮攻击。鉴于该地区与印度之间的历史紧张关系以及最近的地缘政治紧张局势加剧，对巴基斯坦政府的网络攻击继续发生也就不足为奇了。该小组还展示了在过去的运营中针对手机用户的能力。该组织在针对巴基斯坦商人时冒充了巴基斯坦国家银行。

01

脱壳——UPX脱壳原理(脱壳helloworld)

1 程序运行先从壳代码运行，壳代码执行完之后会跳转到真正的OEP，也就是是说第一步，首先要找到真正的OEP

01

新160个CrackMe分析-第1组：1-10（下）

然后获取输入的Serial，与使用Name生成的Serial进行比对验证，弹框提示

03

研究人员发现针对印度陆军的网络间谍行动

网络安全研究人员发现从2019年以来正在进行的针对印度国防部门和武装人员的网络间谍活动的新证据，目的是窃取敏感信息。

03

net框架运行原理

核心是CLR（通用语言运行时）， c#或者其它各种语言编译原理：将原代码通过相对的编译器（语法检查原代码分析）生成IL代码托管（IL也称托管代码），最后得到一个托管模块，一个或多个托管模块组成程序集（assembly）交给CLR运行；编译器需要为托管模块生成完整的元数据；元数据：是一个数据表集合，其中有描述托管模块中引用类型和成员的，还有一些描述他们中成员类型和定义的，元数据和代码一起被嵌入到EXE或者DLL中；因此编译器同时产生元数据和IL代码，并且将它们嵌入到生成的托管模块中；元数据在.

03

CVE-2015-1641及利用样本分析

•漏洞成因：类型混淆漏洞。Word在处理displacedByCustomXml属性时未对customXml标签对象进行有效性验证，可以通过传入其他标签对象，由类型混淆进而达到任意内存写。故可以借由精心构造的标签对象及对应属性值实现RCE。•影响版本：Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 & 2013 SP1, Office Web Apps Server 2010 SP2 & 2013 SP1

04

【vbs】vbs写ini文件

这两天在折腾给一个项目打安装包，第一次接触软件打包，用的Advanced Installer（以下简称AI），应该说如果安装过程没有特殊动作（常规动作指释放文件、写注册表、建快捷方式等）的话，倒挺傻瓜的，按照向导和界面操作就能打好一个包。但我的安装动作包括：

02

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

绝大部分测试和开发人员都不知道的DLL

1. Kernel32.dll 它包含那些用于管理内存、进程和线程的函数，例如CreateThread函数；

02

VC++的DLL应用（含Demo演示）

在大学大一的时候学的是C，然后后来大二的时候专业又开了C++这个课程，然后再后来自己又自学了一点VC++，大三的时候也试着编写过一个MFC的最简单的窗口程序。到大四的时候，自己又做了一个GIS的项目，是用C#.NET来编写的，然后发现C#上手好容易，而且还大部分语法规则都沿用了C，C++的习惯，于是觉得C++实在是没有一点优势可言啊。但这个暑假的实习经历又改变了我的观点：C++在写窗口程序虽然麻烦，但是却什么能做，而且对比C#来说，对运行环境的要求不高，不用像C#程序在安装之前还要安装100M多的运行.NET环境。C++和C#各有优缺，目前我对它们俩的定位是：C++用来写一些底层的程序，比如驱动，或者是一些算法类型的函数接口，然后用C#来调用这些接口并进行界面设计。如何函数的实现跨语言呢？显然DLL是个很重要的内容，故在此对VC++的DLL模块进行介绍。

02

Windows Redis DLL劫持在实战中的利用

举例：例如，假设有一个应用程序叫做"example.exe"，它依赖于名为"example.dll"的动态链接库。而"example.exe"在加载"example.dll"时没有使用绝对路径，而是仅仅指定了DLL的名称。攻击者可以将恶意的"example.dll"文件放置在与"example.exe"相同的目录下，当"example.exe"启动时，系统会先在当前目录中查找"example.dll"文件，如果找到，就会加载该文件并执行其中的恶意代码。 DLL劫持可以函数转发劫持也可以往完整DLL插入恶意代码，这里用的函数转发劫持，大致流程如下图所示： https://kiwings.github.io/2019/04/04/th-DLL%E5%8A%AB%E6%8C%81/ 2.2 劫持dbghelp.dll redis-server.exe在执行bgsave时，会先在应用‍目录查找dbghelp.dll，找不到再去system32目录下找：而不管redis的权限是Administrator还是普通用户或者Network Service，它对自己的应用目录一定有写文件的权限，我们可以通过Redis的主从复制在应用目录里写入恶意DLL。 2.3 函数转发劫持对DLL进行函数转发劫持需要导出原本DLL的函数和地址，以保证程序通过恶意DLL调用这些函数时不影响正常功能，DLL的导出函数一般比较多，用Aheadlib之类的工具可以自动化处理。我这里用的是DLLHijacker，它会自动处理导出表并生成一个VS2019的项目，但这个python脚本有几个bug： https://github.com/kiwings/DLLHijacker (1) VS项目中文乱码：修复：几个写文件的地方添加 encoding="utf-8"。 (2) 函数导出表有匿名函数的时候，会导致以下报错 [-]Error occur: 'NoneType' object has no attribute 'decode 修复：在几个for循环里添加函数名是否为空的判断可以解决这个问题。 (3) 生成C/C++代码时，没有使用目标DLL的绝对路径，只是用了DLL的名字填充LoadLibrary()，这是一个很严重的bug，会导致函数转发失败、Redis的功能受到影响从而只能劫持一次：修复：我改成了根据输入的目标DLL路径自动填充。如果没有使用原DLL的绝对路径，在Process Monitor可以看到，只会调用应用程序目录里的恶意DLL，并没有调用原本的system32下的dbghelp.dll：从而redis的功能受到影响，导致redis的bgsave只能触发一次DLL调用，第二次bgsave的进程会被阻塞从而无法调用DLL，并且Redis关闭后将无法启动：这也是网上部分师傅的文章写”不会影响redis运行但会无法重启“的原因，因为他们也是用的DLLHijacker，并且没有发现有这个坑，这不仅会影响业务，而且只能劫持一次：正常的DLL劫持不会影响程序的功能，可以劫持很多次，假如我第一次劫持想上线CS但是没有成功，那对面可能不出网，那我可能会再劫持打一个MSF的反向shell，都没成功我也可以继续尝试MSF盲打命令：正常的DLL转发劫持如下，调用完应用程序目录里的恶意DLL后会调用原DLL： 0x03 漏洞利用 3.1 工具使用工具下载地址： https://github.com/P4r4d1se/dll_hijack 如是是Windows 64位的Redis DLL劫持的话，可以直接用里面的VS2022版的dbghelp项目。其他要用我修改后的DllHijacker.py和目标DLL路径生成VS项目： python3 DLLHijacker.py C:\Windows\System32\dbghelp.dll 下载安装VS2022，只用勾C++桌面开发： https://visualstudio.microsoft.com/zh-hans/downloads 打开生成目录里的sln文件，因为原本是VS2019的项目所以会提醒你升级，选确定，不然得另外安装v142的编译组件才能编译VS2019的项目：打开后在源文件的dllmain.app，修改里面的shellocde就行，其他不用改： 3.2 出网——Cobalt Strike 如果Redis主机直接出网，或者能通其他已经上线CS的出网主机，那直接上CS是最好的选择，CS生成C语言的payload：源文件的dllmain.app里把payload替换进去，然后选Release x64，生成——生成解决方案：然后主从复制将dbghelp.dll写过去并bg

01

[Rust笔记] 【运行时】FFI 链接 C ABI 动态链接库（实操分享）

不需要依赖任何第三方crate就可达成·运行时·链接的功能要求。至于使用第三方crate所带来的好处，我将在文章末尾给出解释与列举。

03

如何解决在DLL的入口函数中创建或结束线程时卡死

通常情况下并不会使用到DLL的MAIN函数，因为delphi的框架已经把Main函数隐藏起来

01

恶意软件分析– Ursnif Trojan

介绍Ursnif，也称为Gozi-ISFB或Dreambot，是一种广泛分布的银行木马。它试图从不同金融机构的客户那里窃取银行凭证。首次发现与Gozi-ISFB相关的源代码泄漏时。从那时起，乌尔斯尼夫（Ursnif）不断发展并活跃在威胁领域。根据Microsoft的说法，Ursnif自2009年首次出现以来就显示出令人难以置信的窃取功能。从窃取用户的凭据，本

02

UsoDllLoader：一款功能强大的武器化特权文件写入工具

UsoDllLoader是一款功能强大的武器化特权文件写入工具，该工具可以通过Update Session Orchestrator服务来利用Windows系统中的特权文件写入漏洞并完成对目标系统的渗透测试。除此之外，UsoDllLoader还提供了一个针对DiagHub DLL加载漏洞的利用代码，不过微软已经在v1903版本的Windows系统上修复了这个漏洞。

02

C/C++ 远程线程DLL注入

64位进程,就得用64位的EXE来CreateRemoteThread, 另外DLL也应该是64位

02

C/C++ 关于生成静态库（lib)/动态库(dll)文件如何使用(基于windows基础篇)

1. 首先，如何制作一个静态库（lib）? 额，对于静态库，我们知道，里头是不应该有Main函数，它只是一个配合文件。之所以称之为lib静态库，其实就是指，我们需要用到lib里

05

dotnet 使用 windbg 运行脚本方式自动批量调试处理 dump 文件

本文将和大家介绍一个简单且实际用途不大的使用 windbg 配合脚本的方式，进行自动化的大批量对 dotnet 系应用的 dump 进行自动化分析调试处理，可以自动根据调试需求输出 dump 文件的一些信息

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭