PE文件中注入dll

最新推荐文章于 2024-11-04 17:47:11 发布
最新推荐文章于 2024-11-04 17:47:11 发布
阅读量589 收藏 1
点赞数
分类专栏: MFC 文章标签: dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/B01814124/article/details/119823180
版权

0.前提
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

1.修改导入表的RVA值
在这里插入图片描述
在这里插入图片描述84CC —— 8C80
0064 —— 0078 ;增加了新导入的dll, IID结构体大小
在这里插入图片描述

2.删除绑定导入表
修改其值为0即可
在这里插入图片描述3.创建新的IDT
将76CC-76EF复写到7E80
在这里插入图片描述在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据
在这里插入图片描述在这里插入图片描述00 8D 00 00
00 00 00 00
10 8D 00 00
20 8D 00 00
(8D00–7F00 导入名称表 函数名称地址
8D10–7F10 名称 dll名称
8D20–7F20 导入地址表 INT与IAT相同

4.设置INT,Name,IAT
5.修改IAT节区的属性值

一、C++反作弊对抗实战 (基础篇 —— 5.PE导入表注入dll)
Koma的主页
03-02 686
提在之前的文章中有详细讲解PE结构的,详情可以回顾一下:https://blog.youkuaiyun.com/wangningyu/article/details/122991132   导入表是Windows PE文件中的一种特殊数据结构,可执行程序(EXE)被加载到地址空间后,每个导入表的DLL模块都有一个对应的导入表,PE加载器会根据导入表来加
软件安全之代码注入技术 向目标 PE 文件注入 DLL notepad lpk.dll 远程线程函数 提权函数 OpenProcess VirtualAllocEx
SKPrimin的博客
12-06 3606
实验 4 代码注入技术 引言 1、实验说明 代码注入是将用户代码注入到其他进程或者可执行文件中,实现拦截目标进程运行过程的关键信息、改变目标进程或可执行文件原本执行流程等目的 2、实验目的 本实验通过远程线程和输入表注入,向目标进程注入代码、向目标 PE 文件注入 DLL,以加深对代码注入技术的理解。 3、实验原理 课程第 6 讲代码注入技术 4、实验环境 Windows 7 系统、Visual Studio 6.0 及以上版本 5、实验内容 (1)远程线程注入 (2)利用 Detours 实现输入表注入
PE格式: 新建节并插入DLL
优快云
07-26 5646
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
PE文件本地DLL注入实现
flukeshen的博客
10-25 2343
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
PE输入表DLL注入
08-25 642
PE输入表DLL注入
PE 通过导入表注入 Dll
多一份贡献,多一份环保
08-17 1112
导入表注入,当程序被加载时,系统会根据程序导入表信息来加载需要用到的dll,导入表注入的原理就是修改程序的导入表,将自己的dll添加到程序的导入表中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一...
易语言创建进程注入DLL文件
06-03
易语言创建进程注入DLL文件。@qq1347522182。
静态修改PE输入表注入DLL的检测方法研究.docx
12-15
PE文件格式是这一切的基础,它是Windows系统中可执行文件的标准格式,包括DOS部分、PE文件头、节表和节数据等。在内存中,PE文件的数据结构保持不变,仅数据间的偏移可能发生变化。数据目录表,特别是输入表,是检测...
改写PE文件导入表加载DLL
03-18
2. **导入名称表(INT, Import Name Table)**:它包含了函数名,这些函数名对应于DLL中的导出函数。在加载过程中,系统会根据这些名称查找DLL。 3. **导入描述符表(IDT, Import Descriptor Table)**:每个描述符...
PE解析 DLL导出
07-05
PE解析 DLL导出
DLL永久注入EXE 易语言源码实现 无需工具
10-10
DLL永久注入EXE 易语言源码实现 无需工具
永久注入内存中的DLL(无声)
06-06
资源介绍:。永久注入内存中的DLL。百度、论坛上已经有很多修改EXE输入表来用久注入DLL的了。但这样做就必须放置一个DLL在EXE文件的目录下 看起来不顺眼。而且万一被删了就无法运行了。今天无聊 我来给大家讲一下怎么修改EXE 使你的DLL与EXE融为一体。实现永久内存加载 这是前不久我发现的一种方法。使用的工具:。C32Asm。Ollydbg。LordPE。加区段工具Zeroadd。OC(偏移量转换器)。这几个东西网上都有 大家应该也都有 我就不打包了。要不然文件太大了 没有的自己去搜吧。////////////////////////////////////////////////////////////。////////////////////////////////////////////////////////////。我们以修改腾讯TT为例 其他大家举一反三 首先 我们先用黑月写一个测试DLL。好了这个就是我们的测试DLL 然后将它导入我修改后的PELoader中,当然 我可以略过这一步,因为我是用黑月写的 如果你的DLL是用易语言静态或普通编译而成的就不能略过这一步。好
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1722
我们需要修改IDT表,增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入表,导入表第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
修改PE导入表注入DLL——实例图文教程——让你看的明明白白
最新发布
2403_87755661的博客
11-04 1394
其实通过修改PE导入表注入DLL的教程很多,本文也只是其中的沧海一粟而已,但既然写出来,自我感觉应该还是有一点自我的东西的,至少自认为做到了思路清晰,每步都有据可依,让看客应该能做到“看的明明白白”!本贴以《英雄无敌》1游戏程序为例子,向其添加一个DLL,调用其中的导出函数可以在施展回城术魔法时,让玩家可以选择到达具体的城堡。本文的最后效果与下文是一样的,只是处理手法不同而已![原创]修改PE入口点方式注入自己编写的DLL——《英雄无敌》1代小回城术修改成大回城术。
通过修改PE文件导入DLL
learn112的博客
01-17 1073
通过修改PE文件导入DLL 修改思路 实例 1.查看IDT信息 图1 由上图我们可以得到以下信息: IDT的RVA信息在文件偏移160h处,值为84CC IDT的大小信息在文件偏移164h处,值为64h 1.1转到IDT处查看具体信息 转到84CC也就是文件偏移76CC 共有5个IID结构体(每个IID20个字节,对应一个DLL相关信息),最后一个IID为NULL 由上图我们发现并没有足够空间添加我们的DLL, 那么转移IDT 2.转移IDT 由图1可知IDT在.rdata节区, 查看.rdata节区
DLL注入-静态修改PE
m0_52164435的博客
03-14 929
首先要知道,我们要完成的操作是通过修改PE结构来完成注入dllPE中有关于模块导入的是输入表结构,而输入表是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。将以上各值填入原IID位置,填写的时候需要注意字节序是小端序,填写结果如下。
PE文件填充.dll原理解析
笔记本
04-08 735
作为和杀毒软件的对抗技术出现的无特征码处理中一个比较小众,但是效果明显的技术就是.dll填充。而且作为一个上手即可使用毫无副作用的技术,作为预处理效果也非常明显。但是一直很疑惑为什么可以把输入表中的.dll填充了却不会影响程序的运行。下面会从PE装载器和loadlibrary的汇编代码角度解析这个问题。 .dll填充简介: c32载入文件,把输入表中一些关键dll的.dll4个字节填充为000...
修改PE文件引入表实现加载DLL
威化饼的一隅
04-08 3480
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL的加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入表IDT、INT、IAT关系代码实现思路关键数据结构节表IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B01814124

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值