易语言资源网 - 做最全的易语言资源下载社区
【周六更新】【2021开源大赛(第六届)】全部参赛作品信息
精易论坛授权登录
退出登录
我要分享内容
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
搜索
精易模块
自绘
界面美化
汇编
POST
API
易语言助手
高级搜索
首页
易语言源码
入门教程源码
初级教程源码
进阶教程源码
高级教程源码
系统工具源码
图形图像源码
多媒体类源码
游戏娱乐源码
数据库类源码
模块控件源码
行业软件源码
网络相关源码
界面美化源码
易语言模块
易语言支持库
易官方支持库
第三方支持库
OCX控件库
辅助类支持库
易相关资源
易语言版本下载
易语言配色方案
编程辅助工具
编译链接器
易相关资料
电子书类
图文资料
开源大赛
2016开源大赛(第一届)
2017开源大赛(第二届)
2018开源大赛(第三届)
2019开源大赛(第四届)
2020开源大赛(第五届)
2021开源大赛(第六届)
火山相关资源
火山版本下载
火山安卓源码
火山PC源码
其他资源
JavaScript
PHP
C++
HTML
uni-app
Java
Golang
C#
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
当前位置:
易语言资源网
>
模块控件源码
>
帖子内容
【原创】你以为你加载的Dll就是你以为你加载的Dll?
[复制链接]
2022-01-15 17:25:34
模块控件源码
易语言资源网
1258
次浏览
来源链接
前言:
之前有人发过帖子:
【原创】对应PEB、TEB、断链隐藏的一点小分析
,这个是利用PEB断链进行的Dll伪装。
而本贴使用了另外的一个诡异的方案来实现这些东西,这个方案本质上是实现了Dll的替换加载。
正文:
实现原理:加载Dll的时候系统会使用ZwOpenFile进行打开Dll文件,此时,我们只需要hook了ZwOpenFile函数,然后进行简单的替换就可以实现替换加载Dll了!
实现图:
Hook处理部分:
查看其Dll列表
,发现连列表中的路径也是错误的,这是因为我们只替换了Dll加载时被打开的句柄,R3下系统仍然以为我们加载的main.e,实际上main.e更不不可能用LoadLibrary加载起来,真正加载的是“测试Dll.dll”(在PCHunter中可以看到这个Dll被标红)
PS:
我们不能只局限于伪装加载文件系统上的Dll,也可以尝试内存加载Dll用这个方法进行替换,不过处理文件句柄这个坑我实在没法处理,就摆烂了。
点我下载
(已有
59
次下载)
引用模块
无
引用支持库
源码文件名
支持库文件名
支持库标识
main.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
测试Dll.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
[错误报告]
上一篇:fpspread 超强表格修改之多项选择...
下一篇:易朗读 和带百d翻译 1.0.2...
本栏最新
1
用黑月写的功能框架
2
截图小功能
3
程序_生成GUID 优化
4
易语言生成GUID - 精易模块[程序_生成GUID]优化
5
ZwSetInformationThread的反调试
6
易语言操作Excel模块源码分享
7
Office,Wps双版对象操作完整版,含word/excel/ppt
8
NB模块v4.9
9
CCHTTP 图床
10
位图构建模块1.0
本栏最热
1
大漠插件中文汉化模块源码
2
易语言超级模块8.0正式版源码
3
新版33个皮肤模块源码分享
4
精易皮肤模块v4.0(2020.01.03)开源
5
Win10皮肤模块源码
6
超级列表框EXCEL导入导出例程 支持任意列 自动读取表头 自动调整列宽
7
内核读写内存模块源码
8
大漠模块3.0源码附:免注册6.0插件
9
易语言高级表格与EXCEL互转模块
10
Ex_DirectUI 4.1 完整开源
栏目标签
HpSocket
checkbos
数组
API
SQL
算法
自绘
皮肤模块
截图
多线程
黑月
托盘
SUI
特效
解压
,发现连列表中的路径也是错误的,这是因为我们只替换了Dll加载时被打开的句柄,R3下系统仍然以为我们加载的main.e,实际上main.e更不不可能用LoadLibrary加载起来,真正加载的是“测试Dll.dll”(在PCHunter中可以看到这个Dll被标红)