[原创]dll 劫持详细分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]dll 劫持详细分析

发表于: 2011-10-30 18:17 49428

[原创]dll 劫持详细分析

kwting

2011-10-30 18:17

49428

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

dzip.jpg （53.94kb，4949次下载）
ida——zip.jpg （17.61kb，4942次下载）
导出表.jpg （121.71kb，4916次下载）
dzip1.jpg （25.07kb，4899次下载）

收藏・54

免费・6

支持

最新回复 (22)
奘和雪币： 4902 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 2 楼来看LZ的原创心得哈谢谢了 2011-10-30 19:07 0
kongfei 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 71 粉丝 0 关注私信	kongfei 3 楼支持一下，辛苦了，里面提到的到处函数应该是导出函数吧 2011-10-30 19:32 0
yueyunjiu 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	yueyunjiu 4 楼 jmp到原本的输出函数之后遇到retn指令应该直接回到call指令的下一个地址吧这样就不用jmp下面的retn指令了 2011-10-30 19:50 0
mszl 雪币： 877 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 74 粉丝 1 关注私信	mszl 5 楼先回复占楼呵呵~~ 2011-10-30 20:18 0
kwting 雪币： 210 活跃值： (221) 能力值： ( LV9，RANK：180 ) 在线值：发帖 16 回帖 49 粉丝 10 关注私信	kwting 3 6 楼谢谢 yueyunjiu 指出的的错误。。。确实他不会在返回到jmp 的下一个retn 执行了 2011-10-30 20:59 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 7 楼分析得真不错，学习了 2011-10-30 21:05 0
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 8 楼最早还是用函数转发器，当时常劫持 USP10.DLL, LPK.dll 后来又劫持COMRES.DLL等等感谢楼主分享了。 2011-11-1 03:01 0
blackwhite 雪币： 411 活跃值： (252) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 9 楼 load和自身同名的系统dll，会被数字杀的 2011-11-4 19:49 0
moonspot 雪币： 3 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	moonspot 10 楼有图有代码，学习一下 2011-11-4 21:08 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 11 楼数字是用的MD5白名单认证DLL，你的文件名和系统文件名一样就杀你 2011-11-5 09:11 0
omni 雪币： 265 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	omni 12 楼又见劫持的好文，呵呵，纯支持 2011-11-5 17:32 0
cbtly 雪币： 195 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	cbtly 13 楼学习中,支持分享 2011-11-6 13:00 0
leiyihui 雪币： 359 活跃值： (434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 147 粉丝 0 关注私信	leiyihui 14 楼坦白说，这个不咋详细。看的晕。 2011-11-7 11:17 0
奘和雪币： 4902 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 15 楼来看看分析文章哈。。。 2011-11-7 11:37 0
紫云烟雪币： 30 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 94 粉丝 0 关注私信	紫云烟 16 楼 dll劫持在很多方面应用很广。。尤其是对于某些xx杀毒软件 xx 安全卫士在某些方面有用。。 ============= 有用吗？？？ 2011-11-7 21:42 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 17 楼支持一下，辛苦了，里面提到的到处函数应该是导出函数吧 2012-2-23 00:27 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 1 关注私信	大头和尚 18 楼写的不错，但是后面好像还没完吧？感觉少了点 2012-2-23 14:20 0
bbqbbqtt 雪币： 7 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	bbqbbqtt 19 楼海大貌似早就发表劫持 2012-2-26 12:57 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 20 楼留个脚印先~~ 2012-4-21 22:34 0
a圣a 雪币： 6983 活跃值： (3525) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 1 关注私信	a圣a 21 楼想了解一下，就是原来没有dll文件的可执行文件(exe），现在想让它自动加载一个自己编写的dll文件，要怎么注入？ 2012-5-21 22:18 0
omni 雪币： 265 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	omni 22 楼 mark下，劫持是个好技术，有时间再拜读 2013-2-25 15:08 0
omni 雪币： 265 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	omni 23 楼好文章，劫持入门帖，mark下 2013-6-27 19:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kwting

发帖

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
奘和雪币： 4902 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 2 楼来看LZ的原创心得哈谢谢了 2011-10-30 19:07 0
kongfei 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 71 粉丝 0 关注私信	kongfei 3 楼支持一下，辛苦了，里面提到的到处函数应该是导出函数吧 2011-10-30 19:32 0
yueyunjiu 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	yueyunjiu 4 楼 jmp到原本的输出函数之后遇到retn指令应该直接回到call指令的下一个地址吧这样就不用jmp下面的retn指令了 2011-10-30 19:50 0
mszl 雪币： 877 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 74 粉丝 1 关注私信	mszl 5 楼先回复占楼呵呵~~ 2011-10-30 20:18 0
kwting 雪币： 210 活跃值： (221) 能力值： ( LV9，RANK：180 ) 在线值：发帖 16 回帖 49 粉丝 10 关注私信	kwting 3 6 楼谢谢 yueyunjiu 指出的的错误。。。确实他不会在返回到jmp 的下一个retn 执行了 2011-10-30 20:59 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 7 楼分析得真不错，学习了 2011-10-30 21:05 0
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 8 楼最早还是用函数转发器，当时常劫持 USP10.DLL, LPK.dll 后来又劫持COMRES.DLL等等感谢楼主分享了。 2011-11-1 03:01 0
blackwhite 雪币： 411 活跃值： (252) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 9 楼 load和自身同名的系统dll，会被数字杀的 2011-11-4 19:49 0
moonspot 雪币： 3 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	moonspot 10 楼有图有代码，学习一下 2011-11-4 21:08 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 11 楼数字是用的MD5白名单认证DLL，你的文件名和系统文件名一样就杀你 2011-11-5 09:11 0
omni 雪币： 265 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	omni 12 楼又见劫持的好文，呵呵，纯支持 2011-11-5 17:32 0
cbtly 雪币： 195 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	cbtly 13 楼学习中,支持分享 2011-11-6 13:00 0
leiyihui 雪币： 359 活跃值： (434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 147 粉丝 0 关注私信	leiyihui 14 楼坦白说，这个不咋详细。看的晕。 2011-11-7 11:17 0
奘和雪币： 4902 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 15 楼来看看分析文章哈。。。 2011-11-7 11:37 0
紫云烟雪币： 30 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 94 粉丝 0 关注私信	紫云烟 16 楼 dll劫持在很多方面应用很广。。尤其是对于某些xx杀毒软件 xx 安全卫士在某些方面有用。。 ============= 有用吗？？？ 2011-11-7 21:42 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 17 楼支持一下，辛苦了，里面提到的到处函数应该是导出函数吧 2012-2-23 00:27 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 1 关注私信	大头和尚 18 楼写的不错，但是后面好像还没完吧？感觉少了点 2012-2-23 14:20 0
bbqbbqtt 雪币： 7 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	bbqbbqtt 19 楼海大貌似早就发表劫持 2012-2-26 12:57 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 20 楼留个脚印先~~ 2012-4-21 22:34 0
a圣a 雪币： 6983 活跃值： (3525) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 1 关注私信	a圣a 21 楼想了解一下，就是原来没有dll文件的可执行文件(exe），现在想让它自动加载一个自己编写的dll文件，要怎么注入？ 2012-5-21 22:18 0
omni 雪币： 265 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	omni 22 楼 mark下，劫持是个好技术，有时间再拜读 2013-2-25 15:08 0
omni 雪币： 265 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	omni 23 楼好文章，劫持入门帖，mark下 2013-6-27 19:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]dll 劫持 详细分析

[原创]dll 劫持详细分析