[DLL劫持] 2 DLL劫持之DLL基础(2)

最新推荐文章于 2025-07-05 09:56:11 发布
原创 最新推荐文章于 2025-07-05 09:56:11 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#DLL #DllMain #windows

本文介绍了动态链接库(DLL)的基本概念及其核心函数DllMain的工作原理。详细解释了DllMain如何在DLL加载和卸载时被调用,以及不同调用场景下的行为。此外,还提供了具体的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

该系列文章是依据本人平时对动态链接库的学习,归纳总结,所做的学习笔记。如有错误或待改善之处,请留下您宝贵的意见或建议。

 

以下讲的是DLLDllMain

 

Windows在加载DLL的时候,需要一个入口函数,就如同控制台或DOS程序需要main函数、WIN32程序需要WinMain函数一样。在前面的例子中,DLL并没有提供DllMain函数,应用工程也能成功引用DLL,这是因为Windows在找不到DllMain的时候,系统会从其它运行库中引入一个不做任何操作的缺省DllMain函数版本,并不意味着DLL可以放弃DllMain函数。

根据编写规范,Windows必须查找并执行DLL里的DllMain函数作为加载DLL的依据,它使得DLL得以保留在内存里。这个函数并不属于导出函数,而是DLL的内部函数。这意味着不能直接在应用工程中引用DllMain函数,DllMain是自动被调用的。

进程中的每个DLL模块被全局唯一的32字节的HINSTANCE句柄标识进程自己还有一个HINSTANCE句柄。所有这些模块句柄都只有在特定的进程内部有效,它们代表了DLLEXE模块在进程虚拟空间中的起始地址。在Win32中,HINSTANCEHMODULE的值是相同的,这两种类型可以替换使用。进程模块句柄几乎总是等于0x400000,而DLL模块的加载地址的缺省句柄是0x10000000。如果程序同时使用了几个DLL模块,每一个都会有不同的HINSTANCE值。这是因为在创建DLL文件时指定了不同的基地址,或者是因为加载程序对DLL代码进行了重定位。

以下是一个DllMain的例子:

#include "lib.h"
#include "windows.h"
#include "stdio.h"
BOOL APIENTRY DllMain( HANDLE hModule,    
					DWORD  ul_reason_for_call, 
					LPVOID lpReserved
					)
{
    switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		printf("\nprocess attach of dll");
		break;
	case DLL_THREAD_ATTACH:
		printf("\nthread attach of dll");
		break;
	case DLL_THREAD_DETACH:
		printf("\nthread detach of dll");
		break;
	case DLL_PROCESS_DETACH:
		printf("\nprocess detach of dll");
		break;
    }
    return TRUE;
}

int add(int x,int y)
{
	return x + y;
}

DllMain函数在DLL被加载和卸载时被调用,在单个线程启动和终止时,DLLMain函数也被调用,ul_reason_for_call指明了被调用的原因。原因共有4种,即PROCESS_ATTACHPROCESS_DETACHTHREAD_ATTACHTHREAD_DETACH,以switch语句列出。

来仔细解读一下DllMain的函数头BOOL APIENTRYDllMain( HANDLE hModule, WORD ul_reason_for_call, LPVOID lpReserved )

APIENTRY被定义为__stdcall,它意味着这个函数以标准Pascal的方式进行调用,也就是WINAPI方式。

执行的代码如下:

#include "stdafx.h"
#include "windows.h"
typedef int (* lpAddFun)(int,int);
 
int main(int argc, char* argv[])
{
  HINSTANCE hDll; 
	lpAddFun addFun;
	hDll = LoadLibrary("..\\Debug\\dllTest.dll");
	if (hDll != NULL)
	{
		//addFun = (lpAddFun)GetProcAddress(hDll,"add");	
		addFun = (lpAddFun)GetProcAddress(hDll,MAKEINTRESOURCE(1));
		//MAKEINTRESOURCE直接使用导出文件中的序号
		if(addFun!=NULL)
		{
		    int result =  addFun(2,3);    
			printf("\ncall add in dll:%d",result);
		}	
		FreeLibrary(hDll);
	}	
	getchar();
  	return 0;
}

与上一节一样,也是在同一个工作区中建立两个工程。

代码中的GetProcAddress (hDll, MAKEINTRESOURCE ( 1 ) )值得留意,它直接通过.def文件中为add函数指定的顺序号访问add函数,具体体现在MAKEINTRESOURCE ( 1 ),MAKEINTRESOURCE是一个通过序号获取函数名的宏,定义在winuser.h中。


以上是参考网上一篇文档,对DLL做一个大概的介绍,如果想要深入了解,请查阅相关资料。

DLL函数查看器(DLL+Export+Viewer),支持64DLL查看顺.zip
01-08
DLL函数查看器(DLL+Export+Viewer),支持64DLL查看顺.zip
[转载]DLL劫持生成器 源码开放(纯WINDOWS SDK)+ 实例分析
weixin_34043301的博客
03-19 2325
 本菜最近学习了什么DLL注入啊,hook啊(r3)的相关技术,觉得很好玩,于是深入发现还有DLL劫持这种东西觉得挺好玩的,加上最近看到各种木马分析报告中都还有发现有利用白加黑的现象。于是自己想找几个来玩玩,但是一个一个手动测试麻烦啊,于是想写个工具来测试目标是否存在DLL劫持漏洞的可能,于是就产生了写个工具的想法,上网一看,原来十年前都有大神写出来了,不过感觉有点麻烦,好多选项不知道干嘛的,加上...
一种通用DLL劫持技术研究
anhkgg的专栏
09-27 425
通用DLL劫持技术研究 by anhkgg 2018年11月29日 写在前面 Dll劫持相信大家都不陌生,理论就不多说了。Dll劫持的目的一般都是为了自己的dll模块能够在别人进程中运行,然后做些不可描述的事情。 为了让别人的程序能够正常运行,通常都需要在自己的dll中导出和劫持的目标dll相同的函数接口,然后在自己的接口函数中调用原始dll函数,如此使得原始dll的功能能够正常被使用。导出...
易语言-DLL函数查看一键劫持源码工具
gitblog_06739的博客
05-01 421
易语言-DLL函数查看一键劫持源码工具 【下载地址】易语言-DLL函数查看一键劫持源码工具 这是一款专为易语言开发者打造的高效工具,具备强大的DLL函数查看一键劫持源码功能,全面兼容64DLL文件。通过该工具,开发者可以轻松解析DLL文件中的函数信息,快速进行源码劫持,极大提升调试和逆向工程效率。无论是深入分析D...
DLL函数查看劫持源码实现——支持64DLL
最新发布
weixin_30299319的博客
07-05 672
动态链接库(Dynamic Link Library,DLL)是Windows操作系统中实现共享函数库的一种方式,它允许程序共享库中的代码和资源,从而优化内存使用和程序设计。DLL技术的重要性体现在以下几个方面:DLL是一种特殊的可执行文件,它包含可以被多个程序调用的代码、数据或资源。在程序运行时,DLL被加载到内存中,并为各个应用程序提供运行时链接。通过DLL,开发者可以更方便地管理和更新程序模块,因为它们不必重新编译整个应用程序来升级或修改某个特定功能。
易语言-DLL函数查看一键劫持源码~支持64DLL
06-25
易语言-DLL函数查看一键劫持源码~支持64DLL
DLL函数查看一键劫持源码~支持64DLL
06-02
@丶lc。Tags:DLL函数查看
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64 APIHook
dll劫持
125096
05-21 1380
【文章标题】: dll劫持 【文章作者】: 125096 【软件名称】: dll.dll 【加壳方式】: 无 【编写语言】: VS2010 【使用工具】: VS2010,OllyDbg,LordPE.EXE,MSND 【操作平台】: 盗版WIN732操作系统 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸大侠赐教!        大家好,我是125096。今天研究
易语言-dll函数查看器3.2
04-08
dll函数查看器3.2 (易语言编写会报毒) 如果你搜到,那么你懂得..
DLLjiechi.zip_delphi 网络_dll_dll劫持_挟持源码
09-22
DLL劫持,又称为DLL挟持,是一种常见的黑客攻击手段,通过篡改程序对DLL的加载顺序或路径,使得恶意的DLL文件得以执行,从而达到控制或监视系统的目的。本篇文章将深入探讨DLL劫持的概念、原理,并结合Delphi编程...
version.dll 劫持源代码
01-08
2. **编写源码**:在源文件中,实现劫持所需的功能,包括但不限于导出函数、注入逻辑、恢复原版`version.dll`的机制。 3. **配置项目**:确保项目设置正确,包括正确的目标平台、编译选项和链接器设置。 4. **编译与...
开启WIN7的DLL劫持支持+各种系统DLL劫持模板源码-易语言
06-12
《深入理解Windows DLL劫持与实战》 DLL(动态链接库)是Windows操作系统中的一个重要组成部分,它允许多个程序共享同一段代码和数据,从而节省内存并简化软件开发。然而,DLL劫持是一种利用Windows加载DLL机制的...
dll劫持工具.zip
10-05
2. **安全风险**:DLL劫持可能导致以下问题: - 恶意代码执行:恶意DLL可以替代合法的DLL,执行恶意代码。 - 数据窃取:攻击者可以劫持与敏感操作相关的DLL,如登录过程,以获取用户信息。 - 系统稳定性下降:非...
x64 version.dll 劫持源代码
04-25
在IT领域,尤其是系统安全和逆向工程中,“dll劫持”是一个常见的概念。这篇讨论主要聚焦于在C++环境下,针对x64架构的`version.dll`的劫持源代码。`version.dll`是Windows操作系统中用于处理应用程序版本信息的动态...
DLL劫持
m0_68259687的博客
11-16 1449
打开我们的Process Monitor,来监测一下某些程序启动的事件,这里我们要注意一个细节,当我们想要寻找存在Dll劫持的程序的时候,要把exe托出它原来的环境来执行,原因是上面所提到的dll加载顺序,我们需要保证找到的dll,一定是exe所在目录加载的。随着版本的更新,代码的更迭,应用程序自带的Dll数不胜数,几乎随便打开一个应用程序的主目录,都能看见一大把Dll,它们中的很多都满足被劫持的条件。这样进行劫持,还是有可能会让我们的程序没有办法正常运行,因为我们链上了一个原本不存在的dll,这样。
在内存中加载DLL
热门推荐
wr960204(武稀松)的专栏
02-29 1万+
有个需求是把一个DLL作为数据打包到EXE中,运行的时候动态加载.但要求不是释放出来生成DLL文件加载.花了一天时间做出来.效果还可以.不过由于是直接分配内存加载DLL的.有一些小缺陷.例如遍历进程中加载的模块的时候是找不到这个DLL的.GetModuleXXXX之类的API也就不能用了.当然也可以Hook这些函数做处理.不过便利不到这个模块也未必不是一个优点.例如写木马黑客之类的代码的时
9.DLL的入口函数DllMain函数
renwu
08-31 7509
1.dll的入口函数 类似程序的入口函数main或者WinMain一样,DLL也有一个入口函数,就是DllMain   2.DllMain函数原型 BOOL APIENTRY DllMain( HMODULE hModule, //指向自身的句柄 DWORD ul_reason_for_call, //调用原因 ...
Dll导出函数劫持通用方法
meanong的博客
06-04 5683
问题发现 劫持方法 劫持思路 可能问题 劫持实现 导出函数列表 函数上下文 获取真函数的地址 eax值的保存 完整代码 问题发现 dll劫持是一种常见的攻击方法,但是也可以用在不知道程序源码的情况下调试dll函数。之前在滴水教程的视频中注意到一个问题,视频作者演示了一个劫持messagebox函数,打印输出参数的过程,当时学生提问是否存在一种通用的方法可以劫持所有的函数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值