使用AheadLib生成DLL劫持代码

最新推荐文章于 2025-05-07 15:30:38 发布
原创 最新推荐文章于 2025-05-07 15:30:38 发布 · 5k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了DLL劫持的概念,利用 AheadLib 工具伪造DLL以实现程序加载时调用自定义功能。通过填写目标DLL路径生成CPP代码,创建DLL项目并编译,设置为多字节字符集,关闭预编译选项。在DllMain中添加自定义功能。针对32位程序,需注意判断进程类型并获取正确的目录,以避免HOOK失败。

程序加载DLL会有一个优先级顺序,其中,最先加载的是同一目录下的DLL,DLL劫持的原理是在程序的同目录下放一个自己写的DLL,让程序将我们伪造的DLL加载进去,然后在我们的DLL里调用真正DLL的函数。

借助 AheadLib 工具我们可以很方便的伪造DLL。比如,我们想劫持user32.dll,只需将user32.dll的路径填入,然后生成CPP代码。

在这里插入图片描述
看一下生成的代码,由于user32.dll里面函数很多,有1213个,所以代码非常长。
在这里插入图片描述

接下来,创建一个DLL项目,将代码放进去编译,设置项目编码为多字节字符集,关闭预编译选项,即生成了一个伪造的user32.dll。

在这里插入图片描述
我们可以在DllMain里添加想要的功能。

在这里插入图片描述
注意,如果我们的程序是32位,则要拿SysWOW64下的winspool.drv,并对Load函数代码做如下修改:

// 加载原始模块
	inline BOOL WINAPI Load()
	{
		TCHAR tzPath[MAX_PATH];
		TCHAR tzTemp[MAX_PATH * 2];
		BOOL bIsWow64 = FALSE;
		IsWow64Process((HANDLE)-1, &bIsWow64);
		if (bIsWow64)
		{
			GetSystemWow64Directory(tzPath, MAX_PATH);
		}
		else
		{
			GetSystemDirectory(tzPath, MAX_PATH);
		}
		
		lstrcat(tzPath, TEXT("\\winspool.drv"));
		m_hModule = LoadLibrary(tzPath);
		if (m_hModule == NULL)
		{
			wsprintf(tzTemp, TEXT("无法加载 %s,程序无法正常运行。"), tzPath);
			MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
		}

		return (m_hModule != NULL);
	}

先判断当前进程32位还是64位,然后获取相应的目录。32位程序调用GetSystemDirectory,得到的是system32目录,那么HOOK就会失败。

hambaga
关注
DLL劫持实验 - 使用AheadLib工具
Acnorth的博客
03-11 5188
$ DLL劫持实验 - 使用AheadLib工具 参考文档: 实验过程:https://www.write-bug.com/article/1883.html 如何判断程序是32位还是64位:https://blog.youkuaiyun.com/qq_23308823/article/details/54898119 使用VS2010编译64位DLL:https://blog.youkuaiyun.com/l52771...
动态链接库劫持生成
12-25
该动态链接库劫持生成器可以通过劫持dll文件获取相关数据
基于aheadlib工具进行DLL劫持
qq_55515447的博客
03-13 1365
AheadLib 是一款强大的工具,专门用于生成CPP代码或VS2022工程,适用于DLL劫持场景。该工具支持X86和X64架构,是进行DLL劫持操作的必备工具。功能特点生成CPP代码AheadLib 能够自动生成适用于DLL劫持的CPP代码,简化开发流程。VS2022工程生成:支持生成VS2022工程文件,方便开发者直接在Visual Studio中进行开发和调试。多架构支持:全面支持X86和X64架构,满足不同平台的需求。使用场景。
AheadLib进行简单的DLL注入
I have a dream
10-26 6094
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先编写要注入的DLL文件:dllTest_dll.dll 只进行两个数的简单相加 #include "dllTest_dll.h" int add(int x,int y) { return x+y; } DLL的头文件dllT
DLL劫持生成软件
08-24
DLL劫持生成软件
DLL补丁劫持制作
dfdhxb995397的博客
04-21 334
DLL: 由于输入表中只包含 DLL 名而没有它的路径名,因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL,如果没找到,则在Windows 系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的 DLL,提供同样的输出表,每个输出函数转向真正的系统 DLL。程序调用系统 DLL 时会先调用当前目录下伪造的 DLL...
[自制软件] DLL自动劫持生成
weixin_65409651的博客
05-22 1323
DLL自动注入的原理我前面博文里简单说过.就是程序调用DLL的时候如果没有指定DLL目录,那么会优先从程序同目录搜索,如果同目录没有那么就从系统目录里面搜索.3, 将AudioSes.dll拖动到我的[DLL自动劫持生成器]软件,会自动识别导出表. 点击 [生成DLL]按钮,选择保存位置.1,还是用空洞骑士为例子. 游戏目录有个UnityPlayer.dll ,我将演示替换这个DLL文件实现注入.而我这个是直接生成DLL文件,直接编译好了.而且我的软件支持导出64位DLL.
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
AheadLib-x86-x64:hijack dll代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
AheadLib DLL劫持
06-05
掌握DLL劫持使用 AheadLib 开发DLL的知识,对于提升软件安全意识和进行系统编程都是非常重要的。在实际开发过程中,要时刻警惕潜在的安全风险,并采取适当的措施来保护用户的系统不被恶意DLL劫持
Python-这是AheadLib和AddExport之外的另一种生成DLL劫持C源代码的辅助工具
08-10
这是AheadLib和AddExport之外的另一种生成DLL劫持C源代码的辅助工具”表明我们讨论的是一个Python编写的程序,它用于生成DLL劫持相关的C源代码,而DLL劫持是一种技术,通常在逆向工程、软件调试或恶意软件分析中...
易语言DLL劫持生成 最新劫持技术-易语言
06-11
DLL劫持算是一个很古老的技术了,早在XP时代就有臭名昭著的lpk .dll劫持,病毒通过伪装系统 lpk .dll达到注入目标进程,为什么会被劫持呢?因为在程序执行的时候会在当前目录搜索 lpk .dll文件,如果文件存在就会被加载到进程地址空间。 DLL劫持原理:   DLL劫持技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。  由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL劫持(hijack)了。  伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL代码,处理完毕后,再调用原DLL此函数。  这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。  一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll ,应引起注意。 思路: 我们拿winmm.dll劫持做演示,通常的劫持技术是导出和winmm.dll同样的函数并提供相同的参数,当程序运行后加载winmm.dll会事先在当前目录查找,此时如果你编写的伪装winmm.dll在当前目录就会被加载到进程空间,如果程序还调用了里面的函数就会调用你编写的函数你必须保证可以正常运行你得调回原winmm.dll中的函数。 这样来回调用大大降低了效率,而且易语言 导出的函数的特殊性大大降低了效率甚至部分程序还不能正常的回调。 那有没有办法解决这个问题呢? 于是我想到了能不能调用函数的时候直接跳转到原函数呢 这样大大降低了劫持影响的效率  比如 程序a.exe调用 a.dll 里面的 test函数 劫持后 程序a.exe调用a.dll里面的test的时候 会先调用我们劫持dll里面的test然后跳转到a.dll里面的test 这样就相当于调用一个函数变成了调用两个函数 我们完全可以这样 调用我们的test的时候 直接跳转到原函数 而且我们的导出函数不需要提供任何参数跟返回值 这简直太棒了!! DLL公开的子程序就是只用作导出函数请不要加任何代码没有意义。 例程: 直接上winmm.dll劫持源码 使用黑月编译 测试劫持:易语言核心支持库(krnln.fne) 微信 QQ Steam QQ飞车 CF 英雄联盟 一切正常。测试只是为了得到劫持效果仅供参考,请勿用于非法用途。 DLL劫持生成工具 由于时间关系先到这里,后续再更。。。 如果想自己回调某个函数拦截修改功能,请把pszProcName数组变量对应的成员名称给删除 然后自己修改对应的导出函数 提供原函数同样的参数跟返回值
DLL劫持C++源代码创建器
03-21
本工具自动创建用于进行DLL劫持的C++源代码。选择你正在运行的应用程序,选择应用程序加载的DLL,本工具为你创建一个用户劫持DLL的源代码代码中有详细的指导,按照指导去配置你的VS,马上编译一个用来劫持DLL。马上下载下来试试吧。如何创建这个工具,请查看软件的帮助。
AheadLib代码
03-22
AheadLib代码,分析DLL的必备工具,也可用于劫持生成
DLL劫持代码生成.zip
09-24
在此,我们主要讨论如何生成DLL劫持代码,以及相关的编程技术,特别是与VC++(Visual C++)编程环境相关的内容。 在Windows系统中,当一个程序运行时,它可能需要调用其他DLL文件来执行特定功能。DLL劫持的基本...
DLL劫持攻击生成器:理论与防范
最新发布
weixin_35516273的博客
05-07 993
动态链接库(DLL劫持是一种攻击技术,攻击者通过修改系统环境路径或重定向某些DLL调用,来强制应用程序加载攻击者指定的恶意DLL文件。当应用程序试图加载一个合法的DLL文件时,恶意的DLL文件会被执行,进而可能导致未经授权的数据访问、数据泄露,甚至系统权限提升。DLL劫持生成器通常利用Windows系统加载DLL文件时的搜索顺序进行攻击。当一个应用程序尝试加载一个DLL时,操作系统按照特定的顺序搜索DLL文件。这通常包括应用程序所在的目录、系统目录和环境变量中的路径。
【免费下载】 AheadLib DLL劫持工具介绍
gitblog_09795的博客
10-15 1279
AheadLib DLL劫持工具介绍 【下载地址】AheadLibDLL劫持工具介绍 AheadLib 是一款强大的工具,专门用于生成CPP代码或VS2022工程,适用于DLL劫持场景。该工具支持X86和X64架构,是进行DLL劫持操作的必备工具 ...
AheadLib 2.2.150
weixin_34337381的博客
01-15 489
  一、简介   AheadLib 是用来生成一个特洛伊DLL的工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立...
简单实现程序DLL劫持
XunanSec的博客
05-24 2344
0x00 前言 程序启动会调用固定的.dll文件,通过特定的手法将木马代码和进程注入到可被劫持DLL文件中,当程序正常启动,我们代码也会秘密执行。 0x01 利用过程 用到的工具 1、Aheadlib 2、Visual Studio 用美图看看Pdf来测试,朋友们可以拿这个练手,毕竟只有一个.dll文件,小傻瓜都知道是调用的这个dll来启动程序的 找到易劫持dll文件,打开Aheadlib,引入 注意这里设置的原始dll文件名,记住了最后正常dll名字要修改成这个 点击生成
AheadLib工具:DLL劫持与函数分析的强大辅助
- **生成CPP文件**:首先,使用AheadLib工具打开需要模拟的DLL文件,然后生成一个CPP文件。 - **建立DLL工程**:在Visual Studio 6.0或.NET环境中创建一个DLL项目,并将生成的CPP文件添加到项目中。 - **编译生成DLL...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值