本源码是根据 【全网首发】加载Dll时直接转向内存Dll,兼容性极佳 修改而来
原作者的源码在加载的时候还需要一个 同名正常的傀儡Dll 才可以使用
我再此基础上增加了 伪装加载文件的功能,实现了,不需要真实DLL就可以加载的目的
在 LoadLibrary 的时候会先cha询文件是否存在,我HOOK了 NtQueryAttributesFile 函数,让其返回文件存在的假象
然后 NtOpenFile 的时候将原文件名指向到 一个真实的系统DLL(这个可以随意设置,只要是存在的就可以)
然后 NtMapViewOfSection 的时候替换 DLL数据 完成加载
这只是一个方法,有别的方法的可以执教一下
