-
-
感染系统DLL
-
发表于:
2005-10-31 21:53
6738
-
我写了个程序来感染系统的wsock32.dll:算法流程如下
1打开目标DLL,拷贝目标DLL文件,得到一个副本,为副本DLL文件创建文件映射
2在文件映射中找到send函数的RVA并保存,并保存指向这个RVA指针的值
2_1在节表最后添加新的节表,并修改相关内容
3计算MySend函数的RVA
4用MySend函数的RVA替换send函数的RVA
5增加新节,新节的内容是MySend函数的代码
....................................................
我把节表和节都添加好了,用显示PE信息的工具来看,一切正常,但还是不行,装载wsock32.DLL的程序提示说:“没有找到d.dll,因此这个应用程序未能启动....”
wsock32.dll导入表里只有kernel32.dll和WS2_32.dll。我估计原因是我添加节表的时候覆盖了原来的数据。
wsock32.dll的节表一共有4个,那么紧接着这些节表后面应该是一个空节表啊,可wsock32.dll不是,用HEX工具看,是一些dll的名字,但就是没d.dll,那么d.dll是什么?
去了好几个论坛问了,都不知道
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课