首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]利用中转输出表制作HijackDll(附工具源码)
发表于: 2012-8-5 16:48 65221

[原创]利用中转输出表制作HijackDll(附工具源码)

baixinye 活跃值
1
2012-8-5 16:48
65221

查看主题内容

收藏
免费 8
支持
分享
最新回复 (99)
wswm
雪    币: 229
活跃值: (94)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
76
测试了Lz说的第二种方法  劫持msimg32.dll  启动QQ 成功,   但是改成劫持别的系统dll就不行(确定应用程序调用了此系统DLL),   不知道和系统有关不   我的是win7旗舰版,求解
2014-11-1 23:07
0
sinmon
雪    币: 163
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
77
Mark
2014-11-9 03:07
0
cavan
雪    币: 293
活跃值: (239)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
78
dll劫持
2014-11-12 17:48
0
HHHso
雪    币: 17683
活跃值: (4666)
能力值: ( LV15,RANK:1820 )
在线值:
发帖
回帖
粉丝
私信
79
点个赞,恰好最近在分析某商软vmp外层壳时,其就根据这个中转输出的原理结合对半搜索算法自定义了一个加密的GetProcAddress函数,楼主从中能用在劫持上,也是一个思想亮点。
2015-2-13 15:06
0
扇区
雪    币: 39
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
80
正是需要的,最近在学习这方面的。
2015-2-13 16:08
0
丶思流年
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
81
之前用的AheadLib,后来发现直接使用代码注入好像更方便
2015-2-16 16:28
0
潜升
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
82
非常感谢,很好用。
2015-3-28 23:44
0
h辉
雪    币: 101
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
83
~~这下牛B大了~
2015-3-29 07:51
0
haxk
雪    币: 1
活跃值: (326)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
84
真心牛逼!!!!
2015-4-1 11:07
0
linlon
雪    币: 121
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
85
对2015版QQ两个方法都没试验成功.一个是 common.dll 无法改名,好像是因为QQ有驱动保护。

新的QQ也没有使用那个系统DLL。试验了下其他的系统dll。发现无论放在哪里,qq都启动的是系统目录下的dll,而不是QQ目录下的我们的DLL。

测试了两个游戏。一个加壳的有保护的游戏 启动劫持后的 dll就报错。

另外一个游戏目前看来还是正常
2015-4-2 00:44
0
ecx
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
ecx
86
qq肯定是不行的哦,n年前劫持方式就被咔嚓了
2015-4-2 09:51
0
美少女战士GR
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
87
写的真好,崇拜,学习
2015-4-2 12:52
0
小黑瞳
雪    币: 31
活跃值: (99)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
88
。mark
2015-4-6 02:24
0
hbcld
雪    币: 43
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
89
很好,多谢分享
2015-4-9 23:42
0
menglv
雪    币: 10924
活跃值: (3294)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
90
收藏一个,正需要。
2015-5-8 22:47
0
softbihu
雪    币: 226
活跃值: (179)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
91
才看到,不得不赞啊~
2015-8-20 16:20
0
lhglhg
雪    币: 221
活跃值: (2256)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
92
64位系统 可以用?
2015-12-22 19:43
0
yjhx
雪    币: 10
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
93
楼主你好,我发现你的代码RvaToOffset函数我不是不明白
VOID * WINAPI RvaToOffset (IMAGE_DOS_HEADER *lpFile,VOID *Rva)
.....
                        //如果Rva落在某个节的Rva区间
                        return (VOID *)((DWORD)Rva-lpSectionHead[i].VirtualAddress+
                                                        (DWORD)lpFile+
                                                        lpSectionHead[i].PointerToRawData);
                        //返回Rva对应的指向PE内存映射的地址
.....
为啥还要加上(DWORD)lpFile,这不是pe文件映射到内存中的基址么,加上这个没有意义吧,
直接((DWORD)Rva-lpSectionHead[i].VirtualAddress+lpSectionHead[i].PointerToRawData); 这个不就是导出表在磁盘文件中的文件偏移么,文件在磁盘中都是从0开始的,

后来搞懂 了,原来自己映射文件是如实映射,没有经过线性转换的======
2016-7-4 12:54
0
yjhx
雪    币: 10
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
94
楼主能否留个联系方式,QQ?邮箱?微信?都可以,方便交流此问题,谢谢!!
2016-7-4 19:01
0
blackwhite
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
95
呵呵,都这么多年了还有人回复,加呗发个5块钱的红包我加你
2016-7-8 21:37
0
浩天he
雪    币: 5
活跃值: (62)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
96
blackwhite 呵呵,都这么多年了还有人回复,加呗发个5块钱的红包我加你
test.dll  你有这个dll的源码吗?能发出来看看吗
2017-10-18 22:59
0
wyqzm
雪    币: 256
活跃值: (673)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
97
文章不错啊,但下载不了吗?
2020-10-30 18:29
0
hibensonman
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
98
感谢分享
2020-11-29 00:46
0
yzwyq
雪    币: 291
活跃值: (164)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
99
very good
2020-12-2 22:39
0
wx_Chao
雪    币: 1140
活跃值: (266)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
100
好文好码。。。。支持
2020-12-3 08:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//