易语言资源网 - 做最全的易语言资源下载社区
精易论坛授权登录
退出登录
我要分享内容
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
搜索
精易模块
自绘
界面美化
汇编
POST
API
易语言助手
高级搜索
首页
易语言源码
入门教程源码
初级教程源码
进阶教程源码
高级教程源码
系统工具源码
图形图像源码
多媒体类源码
游戏娱乐源码
数据库类源码
模块控件源码
行业软件源码
网络相关源码
界面美化源码
易语言模块
易语言支持库
易官方支持库
第三方支持库
OCX控件库
辅助类支持库
支持2017link的改造库
易相关资源
易语言版本下载
易语言配色方案
编程辅助工具
编译链接器
易相关资料
电子书类
图文资料
开源大赛
2016开源大赛(第一届)
2017开源大赛(第二届)
2018开源大赛(第三届)
2019开源大赛(第四届)
2020开源大赛(第五届)
2021开源大赛(第六届)
2022开源大赛(第七届)
火山相关资源
火山版本下载
火山安卓源码
火山PC源码
其他资源
JavaScript
PHP
C++
HTML
uni-app
Java
Golang
C#
Delphi
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
当前位置:
易语言资源网
>
模块控件源码
>
帖子内容
【原创】你以为你加载的Dll就是你以为你加载的Dll?
[复制链接]
2022-01-15 17:25:34
模块控件源码
易语言资源网
2968
次浏览
来源链接
前言:
之前有人发过帖子:
【原创】对应PEB、TEB、断链隐藏的一点小分析
,这个是利用PEB断链进行的Dll伪装。
而本贴使用了另外的一个诡异的方案来实现这些东西,这个方案本质上是实现了Dll的替换加载。
正文:
实现原理:加载Dll的时候系统会使用ZwOpenFile进行打开Dll文件,此时,我们只需要hook了ZwOpenFile函数,然后进行简单的替换就可以实现替换加载Dll了!
实现图:
Hook处理部分:
查看其Dll列表
,发现连列表中的路径也是错误的,这是因为我们只替换了Dll加载时被打开的句柄,R3下系统仍然以为我们加载的main.e,实际上main.e更不不可能用LoadLibrary加载起来,真正加载的是“测试Dll.dll”(在PCHunter中可以看到这个Dll被标红)
PS:
我们不能只局限于伪装加载文件系统上的Dll,也可以尝试内存加载Dll用这个方法进行替换,不过处理文件句柄这个坑我实在没法处理,就摆烂了。
点我下载
(已有
128
次下载)
引用模块
无
引用支持库
源码文件名
支持库文件名
支持库标识
main.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
测试Dll.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
[错误报告]
上一篇:fpspread 超强表格修改之多项选择...
下一篇:易朗读 和带百d翻译 1.0.2...
本栏最新
1
【已更新】快速字节集类 快速文本类,替代通用对象库
2
PS对象操作类模块 更新 用于操作Photoshop 制作自动化脚本
3
宝塔模块开源
4
rdtsc取纳秒级时间计数
5
文本笔算_加减乘除_支持正负[小数/整数/大数/前缀0的数]
6
高性能读写锁_同步锁v2.6.1 几乎纯汇编 支持跨进程
7
汇编 最快倒找+寻找文本+字节集2.3.1
8
文本加密
9
易语言字体安装,永久生效,立即生效
10
everything调用模块
本栏最热
1
分享一个 可精确控制 网页_访问_对象 超时时间 源码
2
大漠插件中文汉化模块源码
3
易语言超级模块8.0正式版源码
4
新版33个皮肤模块源码分享
5
大漠插件免费版3.1233的中文版模块
6
精易皮肤模块v4.0(2020.01.03)开源
7
IMGUI绘制模块源码
8
鱼刺类_Http模块v6.0.6源码
9
eWOW64Ext v1.2 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
10
ImGui 1.77最新最全库函数封装,UI库的又一新选择
栏目标签
HpSocket
checkbos
数组
API
SQL
算法
自绘
精易模块
皮肤模块
截图
多线程
黑月
托盘
SUI
特效
,发现连列表中的路径也是错误的,这是因为我们只替换了Dll加载时被打开的句柄,R3下系统仍然以为我们加载的main.e,实际上main.e更不不可能用LoadLibrary加载起来,真正加载的是“测试Dll.dll”(在PCHunter中可以看到这个Dll被标红)