Windows KnownDlls

最新推荐文章于 2025-06-22 13:18:31 发布
原创 最新推荐文章于 2025-06-22 13:18:31 发布 · 818 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解读wow64cpu.dll、wowarmhw.dll等常见Windows系统DLL文件的作用,探讨它们在操作系统中的核心角色,帮助理解计算机底层运行机制。 
wow64cpu.dll
wowarmhw.dll
xtajit.dll
advapi32.dll
clbcatq.dll
combase.dll
COMDLG32.dll
coml2.dll
difxapi.dll
gdi32.dll
gdiplus.dll
IMAGEHLP.dll
IMM32.dll
kernel32.dll
MSCTF.dll
MSVCRT.dll
NORMALIZ.dll
NSI.dll
ole32.dll
OLEAUT32.dll
PSAPI.DLL
rpcrt4.dll
sechost.dll
Setupapi.dll
SHCORE.dll
SHELL32.dll
SHLWAPI.dll
user32.dll
WLDAP32.dll
wow64.dll
wow64win.dll
WS2_32.dll
Windows DLL基本原理与加载连接的实现--赵星宇
weidade3621的专栏
01-01 6314
Windows DLL基本原理         Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Mi
Windows找出权限维持的后门
A526847的博客
05-29 1428
Windows权限维持主要包含活动隐藏、自启动等技术。
2-KnownDLLs
weixin_40332490的博客
01-05 973
从测试结果来过,KnownDLLs的功能应该是将注册表项中配置的DLL在系统启动时直接加载到内存中(因为文件被占用无法删除),当某个进程加载同名dll时,直接使用已经缓存的DLL内存镜像即可,减少程序加载时间。可以看到,main.exe旁就是要加载的mathdll.dll,但其实际上加载的%SystemRoot%\syswow64目录下的mathdll.dllWindows系统的标准dll查找顺序取决于是否启用了“安全dll查找模式”,启用“安全dll查找模式”会将用户当前目录放在dll查找顺序的后面。
KnownDlls
小憩一下
05-01 1904
KnownDllswindows下的一种用来缓存经常用到的DLL文件的机制。更准确地说,是被用来加快应用程序对DLL文件的加载速度的机制;也可以被当做是一种安全机制,因为它能够阻止恶意软件植入木马DLLknowndlls,顾名思义,是指系统目录默认加载的DLL,现在病毒伪装的马甲DLL置于文件启动目录之下伺机启动早已不是什么有创意的做法。应用程序启动前优先加载当前目录下的
KnownDll Herpaderping实现无文件进程注入
dzqxwzoe的博客
08-12 718
本文是对 Windows Process Injection: KnownDlls CachePoisoning的整理学习,并与Herpadering技术结合实现无文件注入。
knowndlls反劫持
weixin_30500105的博客
07-29 676
KnownDlls必须是在系统目录中,并且是在系统启动的时候,从注册表读取KnownDlls列表。之后,如果加载这个dll,首先搜索系统目录,其次搜索当前目录。 系统自带KnownDlls,读取注册表里的dll,就不管其他的dllknowndlls,顾名思义,是指系统目录默认加载的DLL,现在病毒伪装的马甲DLL置于文件启动目录之下伺机启动早已不是什么有创意的做法。应用程序启动前...
Windows平台动态链接库加载路径搜索机制详解
学海无涯,快乐行舟
11-06 5680
本文介绍了Windows平台加载动态链接库时DLL的标准搜索顺序,以及如果控制搜索顺序。
Windows常用注册表整理
LongL_GuYu的博客
05-05 1440
Windows常用注册表整理
应急响应:Windows权限维持--后门篇
最新发布
鹿鸣天涯
06-22 984
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门。
Windows自启动项的查看和分析
02-26
7. `knowndlls.h`: 可能包含了已知的动态链接库(DLL)列表,这些库在自启动项中可能会被调用。 通过这个项目,学生可以学习到以下关键知识点: 1. **Windows注册表**: 自启动项通常存储在注册表的特定键下,如`...
Windows dll的一些不为人知的设置
songsiwen2012的博客
05-05 327
无论c或c++都会对导出函数改名或不改名,无论你是静态还是动态调用一个导出函数,都可能碰上改名后导致的调用失败(甚至可能是调用约定不同而导致清理堆栈出错,造成崩溃),下面分析一下改名和调用约定之间的关系。 一.先说extern c。 其含义是指,按c的方式编译代码。在vs7及以后的vs中,有编译选项可以直接选择“编译为:c代码”(在工程属性----》c/c++--...
Dll注入技术之劫持注入
热门推荐
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows...
在调试器下看WoA
advdbgger的博客
01-17 1217
在调试器下看WoA对于任何新生事物的出现,最好的迎接方式就是学习它。而学习又分为3个层次:远观、近玩和内窥。远观,即远远地看几眼,这是一种最粗浅的学习,只能了解它的轮廓。近玩,即靠近它,用一用、试一试,这是一种中等程度的学习,可以明白它的各种特性。内窥,即把它拆开,弄清它的内部结构、工作原理,这是最深层次的学习,可以学习到它的精髓,甚至最后你自己可以造一个同样的东西。WoA 虽然早在2012年就...
Windows桌面应用程序(1-3-3-2nd) WOW64实现细节
lrcno6的编程世界
09-24 1273
WOW64仿真器以用户模式运行。它提供32位版本的Ntdll.dll与处理器内核之间的接口,并拦截内核调用。 WOW64模拟器包含以下DLL: Wow64.dll提供核心仿真基础结构和Ntoskrnl.exe入口点函数的thunk。 Wow64Win.dll为Win32k.sys入口点函数提供了thunk。 (仅限x64)Wow64Cpu.dll支持在x64上运行x86程序。 (仅限Intel ...
使用setacl修改注册表的权限
yunrao的专栏
10-30 5188
setacl软件可以
WoW64架构解析:如何在64位系统上运行32位应用
weixin_36304957的博客
05-07 1317
本文深入解析了Windows 64位系统(WoW64)架构的核心原理。WoW64是一个软件层,允许32位应用程序在64位操作系统上运行。它通过一组用户模式DLL来实现,包括Wow64.dll、Wow64win.dll等,这些DLL负责翻译和模拟32位代码。文章还探讨了文件系统和注册表重定向、系统调用的处理方式,以及在ARM64系统上运行32位应用程序的技术细节。
DLL劫持实验 - 使用AheadLib工具
Acnorth的博客
03-11 5225
$ DLL劫持实验 - 使用AheadLib工具 参考文档: 实验过程:https://www.write-bug.com/article/1883.html 如何判断程序是32位还是64位:https://blog.csdn.net/qq_23308823/article/details/54898119 使用VS2010编译64位DLL:https://blog.csdn.net/l52771...
DLL劫持备忘录
flingmm的博客
01-12 741
DLL劫持备忘录 Windows DLL劫持的几个知识点
windows 加载路径
03-21
<think>好的,我现在需要回答用户关于Windows系统中动态链接库(DLL)加载路径优先级及配置方法的问题。用户已经提供了Linux相关的引用资料,现在需要针对Windows进行说明。 首先,我需要回忆Windows DLL加载机制。记得Windows搜索DLL的顺序和Linux不同,可能涉及当前目录、系统目录、PATH环境变量等。需要确认具体的搜索顺序步骤,以及如何配置这些路径。 接下来,需要分步骤详细说明搜索顺序。例如,第一步是否是应用程序所在目录?然后是系统目录如System32,接着是Windows目录,然后是当前工作目录,再是PATH环境变量中的路径?可能还有通过SetDllDirectory添加的目录,或者其他机制如清单文件或延迟加载。 然后,配置方法部分要涵盖如何设置PATH环境变量,如何使用LoadLibrary函数指定路径,如何通过应用程序清单文件指定依赖项,以及使用SetDllDirectory函数等方法。需要确保每个配置方法的说明清晰,并提供示例,比如修改PATH的具体步骤,或者代码中使用SetDllDirectory的示例。 此外,需要注意安全问题和常见问题。比如,DLL劫持攻击的风险,如何避免,以及32位和64位系统下的DLL路径差异(如SysWOW64目录)。还要提到注册表中的KnownDLLs机制,防止关键系统DLL被替换。 需要确保引用用户提供的参考资料中的格式,但用户的问题是关于Windows,而引用是Linux相关的,所以可能需要忽略引用或仅参考格式。用户提供的引用[1]、[2]、[3]都是关于Linux的动态库路径,因此回答中不需要引用这些,但需要保持回答结构符合用户的要求,比如使用中文,分点说明,生成相关问题等。 最后,生成相关问题,考虑用户可能进一步想了解的内容,如DLL劫持原理、如何设置自定义路径、调试DLL加载失败的方法等。 总结步骤: 1. 概述Windows DLL加载顺序的优先级。 2. 分点详细说明每个搜索路径。 3. 提供配置这些路径的方法,包括环境变量、API调用、清单文件等。 4. 讨论安全问题和常见注意事项。 5. 生成相关问题。</think>### Windows 系统中动态链接库(DLL)加载路径优先级及配置方法 #### 一、DLL 加载路径优先级 Windows 系统在加载动态链接库(DLL)时,按以下顺序搜索路径[^1]: 1. **应用程序所在目录**:程序运行的主模块所在目录。 2. **系统目录**:`C:\Windows\System32`(64位系统)或 `C:\Windows\SysWOW64`(32位程序运行在64位系统时)。 3. **Windows 目录**:`C:\Windows`。 4. **当前工作目录**:进程启动时的当前目录(可通过 `SetCurrentDirectory` 修改)。 5. **`PATH` 环境变量中的路径**:按变量中定义的顺序依次搜索。 6. **显式添加的目录**:通过 `AddDllDirectory` 或 `SetDllDirectory` 添加的路径(需编程实现)。 #### 二、配置方法 1. **修改 `PATH` 环境变量** 将 DLL 所在目录添加到系统或用户的 `PATH` 变量中: - 步骤:控制面板 → 系统 → 高级系统设置 → 环境变量 → 编辑 `PATH` → 添加路径。 - 注意:修改后需重启应用程序生效。 2. **使用 `LoadLibrary` 指定绝对路径** 在代码中显式加载 DLL: ```c HMODULE hDll = LoadLibrary(TEXT("C:\\MyApp\\Libs\\MyDll.dll")); ``` 3. **应用程序清单文件(Manifest)** 通过 XML 清单文件指定依赖的 DLL 路径或版本: ```xml <dependency> <dependentAssembly> <assemblyIdentity type="win32" name="MyDll" version="1.0.0.0" /> <codeBase href="file:///C:/MyApp/Libs/MyDll.dll" /> </dependentAssembly> </dependency> ``` 4. **动态添加搜索路径** 使用 API 函数临时添加路径(仅对当前进程有效): ```c SetDllDirectory(TEXT("C:\\MyApp\\Libs")); AddDllDirectory(TEXT("C:\\MyApp\\Libs")); // Windows 8+ 支持 ``` #### 三、安全与注意事项 1. **DLL 劫持风险** 若攻击者将恶意 DLL 放置在搜索路径的高优先级目录(如应用程序目录),可能导致劫持。需严格管控目录权限[^2]。 2. **32/64 位系统兼容性** - 64 位程序默认加载 `System32` 目录下的 64 位 DLL。 - 32 位程序在 64 位系统
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值