动态加载DLL文件在NtDll内部的流程

最新推荐文章于 2024-01-19 16:19:18 发布
原创 最新推荐文章于 2024-01-19 16:19:18 发布 · 797 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #c #游戏 #解密

本文解析了传奇游戏使用动态DLL文件的过程,详细介绍了从LoadLibrary到DLLMain的调用路径及反调试技巧,对于理解游戏客户端的安全机制具有一定参考价值。

 

    最近在弄传奇3的动态DLL文件的时候很恼火~~盛大的游戏的登陆之前会接受

一段代码,这段代码边解密边执行,中间不过是搜索KERNEL32的GetMoudleHandle、GetProcAddress、和LoadLibraryEx、SetUnhandleExceptionFilter(这个之后没怎么用到),找到这几个函数之后,进行动态加载。

如果在DLL加载进入游戏之后的话,调试会不起作用,可能觉得里面有ANTI的代码,但是确定没有调用DLL里面的函数。可能在DLLMAIN里面就已经执行了,跟了一下加载过程,得到一些流程。

 LoadLibrary----->LoadLibraryEx-------->BasepLoadLibraryAsDateFile--------------->NtMapViewofSection

之后到达这里。

7C921193    55              push    ebp
7C921194    8BEC            mov     ebp, esp
7C921196    56              push    esi
7C921197    57              push    edi
7C921198    53              push    ebx
7C921199    8BF4            mov     esi, esp
7C92119B    FF75 14         push    dword ptr [ebp+14]
7C92119E    FF75 10         push    dword ptr [ebp+10]
7C9211A1    FF75 0C         push    dword ptr [ebp+C]
7C9211A4    FF55 08         call    dword ptr [ebp+8]                ; 执行DLL MAIN
7C9211A7    8BE6            mov     esp, esi
7C9211A9    5B              pop     ebx
7C9211AA    5F              pop     edi
7C9211AB    5E              pop     esi
7C9211AC    5D              pop     ebp

0x7C9211A4 进去就能跟到DLLMAIN了

【C++动态库】动态库隐式与显式加载 | 为什么要动态加载动态库 | LoadLibrary加载失败 | 参考开源操作系统ReactOS源码 | 用LoadLibraryEx替代LoadLibrary
dvlinker的技术专栏
10-24 4万+
本文讲解C++动态库编程相关的内容,包括动态库隐式与显式加载、为什么要动态加载动态库、LoadLibrary加载失败、用LoadLibraryEx替代LoadLibrary、参考开源操作系统ReactOS源码等。
WINDOWS 2K Dll 加载过程
作战在奇不在正,带兵在正不在奇
03-30 2689
WINDOWS 2K Dll 加载过程jefong by 2005/03/30这片文章是我在阅读完MSJ September 1999 Under the Hood后的总结。在windows中exe可执行程序运行时都会调用一些DLL,例如KERNEL32.DLL和USER32.DLL等系统的dll。但是dll是怎么被加载的呢?通常,大家都知道在编写dll时会有一个DLLMain的入口函数,但是实际
动态加载DLL的方法与注意的问题
月下 读书笔记
11-06 1830
<br /> 加载DLL的方法主要有两种:一种是隐式链接,另外一种是动态加载。    隐式链接会把DLL中所有标志为_declspec(dllexport)的函数都加载,如果有多个DLL加载时,可能会影响到程序执行的效率。而用动态加载DLL的方式则可以根据需要去加载用到的函数。    动态加载DLL的方法:    1.把生成的.DLL文件复制到测试工程DLLTest目录下。这里假设该.DLL文件为add.dll,主要代码是:_declspec(dllexport) int add(int x, int y)
电脑提示ntdll.dll缺失怎么办?修复ntdll.dll文件
s__777的博客
01-10 1810
电脑提示ntdll.dll缺失,如果你不去处理的话,那么你的程序游戏什么都是启动不了的,有什么方法可以解决。今天给大家几种解决方法修复ntdll.dll文件
ntdll.dll报错的解决方法分享指南,修复ntdll.dll文件
aizhiniao6的博客
01-19 1万+
有时在工作或游戏过程中,电脑可能会突然弹出一个错误提示,告知你 ntdll.dll文件出错或找不到了。这种情况虽然很让人无奈,但其实解决起来通常并不复杂。接下来,我可以向你介绍如何应对和解决ntdll.dll报错的问题。
电脑中提示关于ntdll.dll错误怎么办,解决出现ntdll.dll错误的办法
szcsd123456789的博客
11-24 7227
ntdll.dll是Windows操作系统的一个关键系统文件,它包含了许多核心函数和系统调用,对于系统的稳定运行至关重要。然而,有时我们可能会遇到ntdll.dll报错的问题,导致程序无法正常运行。那么今天就和大家谈谈电脑中提示关于ntdll.dll错误怎么办,都有什么办法解决出现ntdll.dll错误。
NTDLL导出API头文件和LIB文件的资源分享
使用ntdll.lib可以简化这一过程,让开发者不需要直接进行复杂的DLL加载和调用流程。 进一步地,当我们提到“NTDLL”,这通常意味着Windows Native API的接口。NTDLL.dll负责提供Windows底层的核心服务,它不同于...
ntdll.dll这个依赖一般是用来干什么的
最新发布
10-13
此错误发生在`ntdll.dll`内部(错误偏移量`0x000000000010fb7d`),表明: - **根本原因**:DLL加载过程中PE文件验证失败 - **触发点**:`LdrpSnapThunk`函数(负责地址解析)检测到镜像格式无效 - 可能因依赖的次级...
在实际项目中,如何使用内存补丁技术进行DLL劫持,具体操作流程是怎样的?
10-28
在这些函数内部,你可以添加任何需要执行的额外逻辑,或者修改原有行为。 在操作过程中,需要特别注意的是,某些系统级的DLL,如kernel32.dllntdll.dll,由于其在系统加载过程中的特殊性,通常不适用于DLL劫持...
加载了插件的dll文件,CREO怎么卡住了
08-03
问题:加载了插件的dll文件后,Creo卡住了。这通常是由于插件初始化过程中出现了死循环、阻塞操作或未处理的异常导致的。我们需要通过调试来定位问题。 解决方案: 1. 使用x64dbg附加到Creo进程,在插件初始化代码...
打开ntdll.dll和kernel32.dll这两个库函数的描述文件的工具或方法
kanwoerzi
09-13 1050
ntdll.dll和kernel32.dll文件属于Windows的系统文件,在Windows系统中扮演着重要角色。 ntdll.dll(NT Layer DLL)是Windows NT操作系统的重要模块,属于系统级别的文件。用于堆栈释放、进程管理。 kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作...
无法定位程序输入点ldrlockloaderlock于动态链接库ntdll.dll上的解决办法
热门推荐
埃秒人生(MicroDream Soft)
11-23 1万+
最近在网上下个了软件,在安装的时候提示是否覆盖系统文件,点确认后重起,发现系统出现很多问题。不得已,只好把它卸载了,但是每次启动的时候都弹出“无法定位程序输入点ldrlockloaderlock于动态链接库ntdll.dll上 。”是启动ctfmon.exe时候弹出来的。而且在启动其它一些程序时 也会弹出这个对话框,十分烦人。开始怀疑是ntdll.dll文件被替换,于是运行sfc /scann
“无法定位程序输入点CsrVerifyRegion于动态链接库ntdll.dll上。”的原因及解决方法...
weixin_34212189的博客
04-15 2766
事情经过: 今天 2011-04-15 打上了系统的漏洞. 运行以前的一个程序,发现报错,自然而然的祭出 procmon.exe 利器,跟踪发现,有几个dll文件找不到:vb5chs.dll\kernelbase.dll. 从网上找了以上两个dll安装到系统的system32目录下,但最终那个该死的程序依然不能运行.无奈放弃.那两个dll文件也没有删除. 重启后,完了,几乎运行所有的程序都...
Visual Studio 附加到进程调试找不到问w3wp.exe的解决办法
nest9527的博客
06-19 1万+
1、在IIS中部署好站点,确保有一个应用程序池在跑。 2、设置好断点后,调试——>附加到进程,勾选“显示所有用户的进程”,在英文输入法的状态下,按下‘W’键,快速找到‘w’开头的‘w3wp.exe’。 3、接下来逐语句还是逐过程调试就不在赘述。
NTDLL.dll详解
一花一世界
08-29 8264
ntdll.dll是NT操作系统重要的模块,常见错误为File Not Found, Missing File, Exception Errors。除非用户电脑被木马病毒、或是流氓软件篡改导致出现mfc71u.dll丢失、缺失损坏等弹窗现象,否则不建议用户对该类文件进行随意的修 改。     NTDLL.DLL 这个是系统的重要模块,是调用API函数时候用到的一个动态链接库文件,解决方法两种,去别
Win32 DLL和MFC DLL 中封装对话框
07-02 5309
 现在最常看见的关于DLL的问题就是如何在DLL中使用对话框,这是一个很普遍的关于如何在DLL中使用资源的问题。这里我们从Win32   DLL和MFC   DLL两个方面来分析并解决这个问题。           1.Win32   DLL               在Win32   DLL中使用对话框很简单,你只需要在你的DLL中添加对话框资源,而且可以在对话框上面设置你所需要的控件。然后使
MFC的dll中控制资源问题
07-02 1608
有程序EXE和DLL,其中DLL中有1个函数用来显示对话框,被EXE调用。当EXE和DLL都为Release或Debug时,没有任何问题,但EXE为Release、DLL为Debug时,就会出错。该DLL是用VC提供的MFC Extension DLL,函数的代码如下:HINSTANCE hInstOld = AfxGetResourceHandle(); // 该句出错HINSTANCE hIn
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值