[分享]重读老文章：DLL注入的又一个梗-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]重读老文章：DLL注入的又一个梗

发表于: 2014-4-20 11:44 25814

[分享]重读老文章：DLL注入的又一个梗

cvcvxk

2014-4-20 11:44

25814

上回的梗是APC，但是遗憾的是不支持x64，而且嵌入会被某些15年战斗力的人鄙视~
那么这回的梗要高端大气一点了~，可以支持x64，而且没有汇编~
其实说白了就是靠传说中的KeUserModeCallBack调用来搞定的~
而且不是用KeUserModeCallBack注入shellcode,而是直接调用内核层的ClientLoadlibrary实现~其实更懒的方法是直接找到Win32k.sys里的那个

这里提一下比较好玩的地方主要是KeUserModeCallBack的参数，这里我偷了个懒，使用了小技巧的方式来进行参数初始化
具体代码如下

NTSYSAPI NTSTATUS NTAPI 
	KeUserModeCallback(
	IN ULONG ApiNumber,
	IN PVOID InputBuffer,
	IN ULONG InputLength,
	OUT PVOID *OutputBuffer,
	IN PULONG OutputLength
	);
typedef struct _CLientLoadLibraryParam
{
	DWORD dwSize;//+0
	DWORD dwStringLength; //+4
	DWORD ReservedZero1;//+8
	DWORD ReservedZero2;//+C
	DWORD ReservedZero3;//+10
	DWORD ReservedZero4;//+14
	DWORD ReservedZero5;//+18 () +1A () //不需要！
	DWORD ptrDllString;//+1C
	DWORD ReservedZero6;//+20
	DWORD ptrApiString;//+24
	WCHAR szDllName[MAX_PATH];
	WCHAR szApiName[MAX_PATH];
}CLientLoadLibraryParam,*PCLientLoadLibraryParam;

NTSTATUS InjectDll(LPCWSTR lpszDll,LPCWSTR lpszApi)
{
	PVOID Return;
	ULONG RetLen;
	PVOID BaseAddress = NULL;
	SIZE_T size = sizeof(CLientLoadLibraryParam);
	NTSTATUS ns;
	ns = ZwAllocateVirtualMemory(NtCurrentProcess(),
		&BaseAddress,
		0,
		&size,
		MEM_COMMIT,
		PAGE_EXECUTE_READWRITE);
	if (NT_SUCCESS(ns))
	{
		PCLientLoadLibraryParam p = (PCLientLoadLibraryParam)BaseAddress;
		RtlZeroMemory(p,sizeof(CLientLoadLibraryParam));
		p->dwSize = sizeof(CLientLoadLibraryParam);
		p->ReservedZero4 = 1;//这样子就是平滑模式了!
		wcsncpy(p->szApiName,lpszApi,MAX_PATH);
		wcsncpy(p->szDllName,lpszDll,MAX_PATH);
		p->ptrApiString = (DWORD)p->szApiName;
		p->ptrDllString = (DWORD)p->szDllName;
		
		ns = KeUserModeCallback(0x42,//Win7上是0x41
			BaseAddress,
			sizeof(CLientLoadLibraryParam),
			&Return,
			&RetLen
			);
	}
	return ns;
}

但是这里有个问题DLL被Load后，立刻被Free掉了~
所以DLL还要导出一个函数，函数的样子：

DWORD WINAPI XXXX(DWORD Arg0,DWORD Arg1);

这样就和谐了~

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

clipboard.png （5.41kb，64次下载）

收藏・72

免费・5

支持

最新回复 (35) 1 2 ▶
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 2 楼第一次离老v这么近 2014-4-20 11:53 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼指定程序注入dll，可以通过ProcessNotifyRoutine和ThreadNotifyRoutine 然后KeUserModeCallback就可以回调ntdll.LdrLoadDll注入了 2014-4-20 12:01 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 4 楼学习了顶V大 2014-4-20 12:35 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 5 楼老V又爆料了，看不大懂，肯定是好东西 2014-4-20 13:56 0
RtlFree 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 126 粉丝 0 关注私信	RtlFree 6 楼不明觉厉呀. 老V能否说一下这些东西你是怎么学的? 是每天对着ida 跟丫的死嗑嘛? 2014-4-20 14:17 0
水镜。雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	水镜。 7 楼占楼 2014-4-20 15:34 0
guobing 雪币： 10026 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 8 楼占坑 ...这个真的看不懂。。 2014-4-20 17:34 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 9 楼差不多~ windbg调试+ida死磕~ 2014-4-20 18:48 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 10 楼不过之前那个就调用个函数而已，还要嵌入asm，确实有点13 2014-4-20 20:11 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 11 楼我是来这个帖子寻找15年经验的牛人的 2014-4-20 20:51 0
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 12 楼路过,看看！ 2014-4-20 21:13 0
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 13 楼标记一下 2014-4-21 13:05 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 14 楼 ClientLoadlibrary 其实就是setwinhookex那一系列用来加载dll的玩意还记得消息钩子dll不那个dll就是这么进去的话说KeUserModeCallBack有个很大的回调表 ClientLoadlibrary 是其中一个函数还有好多其他的好玩函数 2014-4-21 15:36 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 15 楼其他好玩的，例如ClientImmLoadLayout，也是可以加载dll的。 2014-4-21 15:55 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 16 楼但是这里有个问题DLL被Load后，立刻被Free掉了~ 所以DLL还要导出一个函数. 偶这个菜鸟问题个非常白痴的问题。为什么DLL导出一个函数就不会被Free掉。 2014-4-21 16:12 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 17 楼 KernelMode \| UserMode nt!KeUserModeCallBack \| --> user32!__ClientLoadLibrary int __stdcall __ClientLoadLibrary(int a1) { void v1; // edi@2 const WCHAR v2; // eax@3 HMODULE v3; // esi@4 FARPROC v4; // eax@5 void v6; // [sp+Ch] [bp-120h]@10 int v7; // [sp+10h] [bp-11Ch]@10 int v8; // [sp+14h] [bp-118h]@1 int v9; // [sp+1Ch] [bp-110h]@1 int v10; // [sp+20h] [bp-10Ch]@1 CHAR ProcName; // [sp+24h] [bp-108h]@1 char Dst; // [sp+25h] [bp-107h]@1 unsigned int v13; // [sp+128h] [bp-4h]@1 int v14; // [sp+12Ch] [bp+0h]@1 v13 = (unsigned int)&v14 ^ __security_cookie; ProcName = 0; memset(&Dst, 0, 0x103u); v8 = 0; v9 = 0; v10 = 0; if ( (_DWORD )(a1 + 8) && !(_DWORD )(a1 + 20) ) FixupCallbackPointers(a1); v1 = LoadLibraryExW((LPCWSTR )(a1 + 0x1C), 0, 8u); if ( v1 ) { v2 = (const WCHAR *)(a1 + 0x24); if ( v2 ) { v3 = v1; v1 = (void )WideCharToMultiByte(0, 0x400u, v2, -1, &ProcName, 260, 0, 0); if ( !v1 ) goto LABEL_16; v4 = GetProcAddress(v3, &ProcName); if ( !v4 \|\| !InitUserApiHook(v3, v4) ) v1 = 0; if ( v1 ) v1 = v3; else LABEL_16: FreeLibrary(v3); } } v6 = v1; v7 = 0; return NtCallbackReturn(&v6, 24, 0); } KeUserModeCallback这个函数只是一个工具一个入口而已，真正需要去学习的是他后面的那张KernelCallbackTable表。 0:005> dt ntdll!_PEB 7efde000 +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' …………………… …………………… +0x02c KernelCallbackTable : 0x7506b9f0 Void 0:005> dds 0x7506b9f0 7506b9f0 750af230 USER32!__fnCOPYDATA 7506b9f4 750af1ba USER32!__fnCOPYGLOBALDATA 7506b9f8 75066e19 USER32!__fnDWORD 7506b9fc 750699f4 USER32!__fnNCDESTROY 7506ba00 7508b8fa USER32!__fnDWORDOPTINLPMSG 7506ba04 750af30a USER32!__fnINOUTDRAG 7506ba08 75071f46 USER32!__fnGETTEXTLENGTHS 7506ba0c 750af6ee USER32!__fnINCNTOUTSTRING 7506ba10 750af7a1 USER32!__fnINCNTOUTSTRINGNULL 7506ba14 750af539 USER32!__fnINLPCOMPAREITEMSTRUCT 7506ba18 7506a6d8 USER32!__fnINLPCREATESTRUCT 7506ba1c 750af582 USER32!__fnINLPDELETEITEMSTRUCT 7506ba20 7507981e USER32!__fnINLPDRAWITEMSTRUCT 7506ba24 750af626 USER32!__fnINLPHELPINFOSTRUCT 7506ba28 750af5cb USER32!__fnINLPHLPSTRUCT 7506ba2c 750af356 USER32!__fnINLPMDICREATESTRUCT 7506ba30 750798a4 USER32!__fnINOUTLPMEASUREITEMSTRUCT 7506ba34 75068f7b USER32!__fnINLPWINDOWPOS 7506ba38 75068aab USER32!__fnINOUTLPPOINT5 7506ba3c 75078759 USER32!__fnINOUTLPSCROLLINFO 7506ba40 7508efda USER32!__fnINOUTLPRECT 7506ba44 750685e8 USER32!__fnINOUTNCCALCSIZE 7506ba48 75068edb USER32!__fnINOUTLPWINDOWPOS 7506ba4c 750af3b2 USER32!__fnINPAINTCLIPBRD 7506ba50 750af426 USER32!__fnINSIZECLIPBRD 7506ba54 750af499 USER32!__fnINDESTROYCLIPBRD 7506ba58 7508bf58 USER32!__fnINSTRING 7506ba5c 7508f11c USER32!__fnINSTRINGNULL 7506ba60 7508c4c1 USER32!__fnINDEVICECHANGE 7506ba64 7508dce4 USER32!__fnPOWERBROADCAST 7506ba68 750af94a USER32!__fnINOUTNEXTMENU 7506ba6c 750af16a USER32!__fnOPTOUTLPDWORDOPTOUTLPDWORD 7506ba70 750af0cb USER32!__fnOUTDWORDDWORD 7506ba74 750af11b USER32!__fnOUTDWORDINDWORD 7506ba78 750af4ea USER32!__fnOUTLPRECT 7506ba7c 75071e6f USER32!__fnOUTSTRING 7506ba80 750af8ef USER32!__fnPOPTINLPUINT 7506ba84 750af848 USER32!__fnPOUTLPINT 7506ba88 750af295 USER32!__fnSENTDDEMSG 7506ba8c 7507341c USER32!__fnINOUTSTYLECHANGE 7506ba90 7506810b USER32!__fnHkINDWORD 7506ba94 7507b224 USER32!__fnHkINLPCBTACTIVATESTRUCT 7506ba98 750783a7 USER32!__fnHkINLPCBTCREATESTRUCT 7506ba9c 750afa68 USER32!__fnHkINLPDEBUGHOOKSTRUCT 7506baa0 75072bd4 USER32!__fnHkINLPMOUSEHOOKSTRUCTEX 7506baa4 750af9dc USER32!__fnHkINLPKBDLLHOOKSTRUCT 7506baa8 750afa22 USER32!__fnHkINLPMSLLHOOKSTRUCT 7506baac 75068b52 USER32!__fnHkINLPMSG 7506bab0 750af996 USER32!__fnHkINLPRECT 7506bab4 750b06f9 USER32!__fnHkOPTINLPEVENTMSG 7506bab8 7507ffcd USER32!__ClientCopyDDEIn1 7506babc 750800a9 USER32!__ClientCopyDDEIn2 7506bac0 750801fb USER32!__ClientCopyDDEOut1 7506bac4 75080118 USER32!__ClientCopyDDEOut2 7506bac8 7506e889 USER32!__ClientCopyImage 7506bacc 750afdcc USER32!__ClientEventCallback 7506bad0 750afe63 USER32!__ClientFindMnemChar 7506bad4 750afd50 USER32!__ClientFreeDDEHandle 7506bad8 75072eab USER32!__ClientFreeLibrary 7506badc 750afd08 USER32!__ClientGetCharsetInfo 7506bae0 750afd8e USER32!__ClientGetDDEFlags 7506bae4 750afe1d USER32!__ClientGetDDEHookData 7506bae8 750afbcb USER32!__ClientGetListboxString 7506baec 750afc77 USER32!__ClientGetMessageMPH 7506baf0 750afab6 USER32!__ClientLoadImage 7506baf4 7506aa64 USER32!__ClientLoadLibrary 7506baf8 750743bc USER32!__ClientLoadMenu 7506bafc 750b00f8 USER32!__ClientLoadLocalT1Fonts 7506bb00 750afebc USER32!__ClientPSMTextOut 7506bb04 750aff63 USER32!__ClientLpkDrawTextEx 7506bb08 750affce USER32!__ClientExtTextOutW 7506bb0c 750b003a USER32!__ClientGetTextExtentPointW 7506bb10 7508c5cc USER32!__ClientCharToWchar 7506bb14 750b0099 USER32!__ClientAddFontResourceW 7506bb18 75069d7d USER32!__ClientThreadSetup 7506bb1c 750b01d4 USER32!__ClientDeliverUserApc 7506bb20 750b016c USER32!__ClientNoMemoryPopup 7506bb24 750744d7 USER32!__ClientMonitorEnumProc 7506bb28 750733d1 USER32!__ClientCallWinEventProc 7506bb2c 750afcc9 USER32!__ClientWaitMessageExMPH 7506bb30 75070d56 USER32!__ClientWOWGetProcModule 7506bb34 750b0384 USER32!__ClientWOWTask16SchedNotify 7506bb38 750b01e7 USER32!__ClientImmLoadLayout 7506bb3c 7508d5bf USER32!__ClientImmProcessKey 7506bb40 750b0256 USER32!__fnIMECONTROL 7506bb44 750b060d USER32!__fnINWPARAMDBCSCHAR 7506bb48 75071f46 USER32!__fnGETTEXTLENGTHS 7506bb4c 750af681 USER32!__fnINLPKDRAWSWITCHWND 7506bb50 750b03cd USER32!__ClientLoadStringW 7506bb54 750bd941 USER32!__ClientLoadOLE 7506bb58 750bd7bd USER32!__ClientRegisterDragDrop 7506bb5c 750bd803 USER32!__ClientRevokeDragDrop 7506bb60 750b0335 USER32!__fnINOUTMENUGETOBJECT 7506bb64 750b0110 USER32!__ClientPrinterThunk 7506bb68 7508d48b USER32!__fnOUTLPCOMBOBOXINFO 7506bb6c 750b0475 USER32!__fnOUTLPSCROLLBARINFO 7506bb70 75075d80 USER32!__fnINLPUAHDRAWMENU 7506bb74 75075d20 USER32!__fnINLPUAHDRAWMENUITEM 7506bb78 75075cd4 USER32!__fnINLPUAHINITMENU 7506bb7c 75075ece USER32!__fnINOUTLPUAHMEASUREMENUITEM 7506bb80 7508c2ee USER32!__fnINLPUAHNCPAINTMENUPOPUP 7506bb84 750757d1 USER32!__fnOUTLPTITLEBARINFOEX 7506bb88 750b04f4 USER32!__fnTOUCH 7506bb8c 750b0553 USER32!__fnGESTURE 7506bb90 750b05b2 USER32!__fnINPGESTURENOTIFYSTRUCT 至于为什么，看看上面的代码就明白了，老V这篇写的不详细，我很想扩充来写一下 2014-4-21 16:59 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 18 楼 u can u up ,gogogo 2014-4-21 19:09 0
狗毛大圣雪币： 421 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	狗毛大圣 19 楼先膜拜各位大牛话说以前通过R3回调能够搞QQ密码后来被TX搞了不知道有没有这回事 2014-4-21 19:33 0
bitt 雪币： 435 活跃值： (1207) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 20 楼相关 http://bbs.pediy.com/showthread.php?t=105107 http://hi.baidu.com/_achillis/item/3b18870870961a143b53ee02 2014-4-22 09:22 0
vvLinker 雪币： 35 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 21 楼不明觉厉 2014-4-22 10:35 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 22 楼佩服这种死士精神 2014-4-22 15:28 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 23 楼下一步是不是要把DLL数组化,然后在RING0中运行? 2014-4-22 20:27 0
gscsnm 雪币： 438 活跃值： (93) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 169 粉丝 0 关注私信	gscsnm 24 楼哏。。。。 2014-4-23 21:38 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 25 楼 mark~ 2014-4-23 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 2 楼第一次离老v这么近 2014-4-20 11:53 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼指定程序注入dll，可以通过ProcessNotifyRoutine和ThreadNotifyRoutine 然后KeUserModeCallback就可以回调ntdll.LdrLoadDll注入了 2014-4-20 12:01 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 4 楼学习了顶V大 2014-4-20 12:35 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 5 楼老V又爆料了，看不大懂，肯定是好东西 2014-4-20 13:56 0
RtlFree 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 126 粉丝 0 关注私信	RtlFree 6 楼不明觉厉呀. 老V能否说一下这些东西你是怎么学的? 是每天对着ida 跟丫的死嗑嘛? 2014-4-20 14:17 0
水镜。雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	水镜。 7 楼占楼 2014-4-20 15:34 0
guobing 雪币： 10026 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 8 楼占坑 ...这个真的看不懂。。 2014-4-20 17:34 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 9 楼差不多~ windbg调试+ida死磕~ 2014-4-20 18:48 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 10 楼不过之前那个就调用个函数而已，还要嵌入asm，确实有点13 2014-4-20 20:11 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 11 楼我是来这个帖子寻找15年经验的牛人的 2014-4-20 20:51 0
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 12 楼路过,看看！ 2014-4-20 21:13 0
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 13 楼标记一下 2014-4-21 13:05 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 14 楼 ClientLoadlibrary 其实就是setwinhookex那一系列用来加载dll的玩意还记得消息钩子dll不那个dll就是这么进去的话说KeUserModeCallBack有个很大的回调表 ClientLoadlibrary 是其中一个函数还有好多其他的好玩函数 2014-4-21 15:36 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 15 楼其他好玩的，例如ClientImmLoadLayout，也是可以加载dll的。 2014-4-21 15:55 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 16 楼但是这里有个问题DLL被Load后，立刻被Free掉了~ 所以DLL还要导出一个函数. 偶这个菜鸟问题个非常白痴的问题。为什么DLL导出一个函数就不会被Free掉。 2014-4-21 16:12 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 17 楼 KernelMode \| UserMode nt!KeUserModeCallBack \| --> user32!__ClientLoadLibrary int __stdcall __ClientLoadLibrary(int a1) { void v1; // edi@2 const WCHAR v2; // eax@3 HMODULE v3; // esi@4 FARPROC v4; // eax@5 void v6; // [sp+Ch] [bp-120h]@10 int v7; // [sp+10h] [bp-11Ch]@10 int v8; // [sp+14h] [bp-118h]@1 int v9; // [sp+1Ch] [bp-110h]@1 int v10; // [sp+20h] [bp-10Ch]@1 CHAR ProcName; // [sp+24h] [bp-108h]@1 char Dst; // [sp+25h] [bp-107h]@1 unsigned int v13; // [sp+128h] [bp-4h]@1 int v14; // [sp+12Ch] [bp+0h]@1 v13 = (unsigned int)&v14 ^ __security_cookie; ProcName = 0; memset(&Dst, 0, 0x103u); v8 = 0; v9 = 0; v10 = 0; if ( (_DWORD )(a1 + 8) && !(_DWORD )(a1 + 20) ) FixupCallbackPointers(a1); v1 = LoadLibraryExW((LPCWSTR )(a1 + 0x1C), 0, 8u); if ( v1 ) { v2 = (const WCHAR *)(a1 + 0x24); if ( v2 ) { v3 = v1; v1 = (void )WideCharToMultiByte(0, 0x400u, v2, -1, &ProcName, 260, 0, 0); if ( !v1 ) goto LABEL_16; v4 = GetProcAddress(v3, &ProcName); if ( !v4 \|\| !InitUserApiHook(v3, v4) ) v1 = 0; if ( v1 ) v1 = v3; else LABEL_16: FreeLibrary(v3); } } v6 = v1; v7 = 0; return NtCallbackReturn(&v6, 24, 0); } KeUserModeCallback这个函数只是一个工具一个入口而已，真正需要去学习的是他后面的那张KernelCallbackTable表。 0:005> dt ntdll!_PEB 7efde000 +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' …………………… …………………… +0x02c KernelCallbackTable : 0x7506b9f0 Void 0:005> dds 0x7506b9f0 7506b9f0 750af230 USER32!__fnCOPYDATA 7506b9f4 750af1ba USER32!__fnCOPYGLOBALDATA 7506b9f8 75066e19 USER32!__fnDWORD 7506b9fc 750699f4 USER32!__fnNCDESTROY 7506ba00 7508b8fa USER32!__fnDWORDOPTINLPMSG 7506ba04 750af30a USER32!__fnINOUTDRAG 7506ba08 75071f46 USER32!__fnGETTEXTLENGTHS 7506ba0c 750af6ee USER32!__fnINCNTOUTSTRING 7506ba10 750af7a1 USER32!__fnINCNTOUTSTRINGNULL 7506ba14 750af539 USER32!__fnINLPCOMPAREITEMSTRUCT 7506ba18 7506a6d8 USER32!__fnINLPCREATESTRUCT 7506ba1c 750af582 USER32!__fnINLPDELETEITEMSTRUCT 7506ba20 7507981e USER32!__fnINLPDRAWITEMSTRUCT 7506ba24 750af626 USER32!__fnINLPHELPINFOSTRUCT 7506ba28 750af5cb USER32!__fnINLPHLPSTRUCT 7506ba2c 750af356 USER32!__fnINLPMDICREATESTRUCT 7506ba30 750798a4 USER32!__fnINOUTLPMEASUREITEMSTRUCT 7506ba34 75068f7b USER32!__fnINLPWINDOWPOS 7506ba38 75068aab USER32!__fnINOUTLPPOINT5 7506ba3c 75078759 USER32!__fnINOUTLPSCROLLINFO 7506ba40 7508efda USER32!__fnINOUTLPRECT 7506ba44 750685e8 USER32!__fnINOUTNCCALCSIZE 7506ba48 75068edb USER32!__fnINOUTLPWINDOWPOS 7506ba4c 750af3b2 USER32!__fnINPAINTCLIPBRD 7506ba50 750af426 USER32!__fnINSIZECLIPBRD 7506ba54 750af499 USER32!__fnINDESTROYCLIPBRD 7506ba58 7508bf58 USER32!__fnINSTRING 7506ba5c 7508f11c USER32!__fnINSTRINGNULL 7506ba60 7508c4c1 USER32!__fnINDEVICECHANGE 7506ba64 7508dce4 USER32!__fnPOWERBROADCAST 7506ba68 750af94a USER32!__fnINOUTNEXTMENU 7506ba6c 750af16a USER32!__fnOPTOUTLPDWORDOPTOUTLPDWORD 7506ba70 750af0cb USER32!__fnOUTDWORDDWORD 7506ba74 750af11b USER32!__fnOUTDWORDINDWORD 7506ba78 750af4ea USER32!__fnOUTLPRECT 7506ba7c 75071e6f USER32!__fnOUTSTRING 7506ba80 750af8ef USER32!__fnPOPTINLPUINT 7506ba84 750af848 USER32!__fnPOUTLPINT 7506ba88 750af295 USER32!__fnSENTDDEMSG 7506ba8c 7507341c USER32!__fnINOUTSTYLECHANGE 7506ba90 7506810b USER32!__fnHkINDWORD 7506ba94 7507b224 USER32!__fnHkINLPCBTACTIVATESTRUCT 7506ba98 750783a7 USER32!__fnHkINLPCBTCREATESTRUCT 7506ba9c 750afa68 USER32!__fnHkINLPDEBUGHOOKSTRUCT 7506baa0 75072bd4 USER32!__fnHkINLPMOUSEHOOKSTRUCTEX 7506baa4 750af9dc USER32!__fnHkINLPKBDLLHOOKSTRUCT 7506baa8 750afa22 USER32!__fnHkINLPMSLLHOOKSTRUCT 7506baac 75068b52 USER32!__fnHkINLPMSG 7506bab0 750af996 USER32!__fnHkINLPRECT 7506bab4 750b06f9 USER32!__fnHkOPTINLPEVENTMSG 7506bab8 7507ffcd USER32!__ClientCopyDDEIn1 7506babc 750800a9 USER32!__ClientCopyDDEIn2 7506bac0 750801fb USER32!__ClientCopyDDEOut1 7506bac4 75080118 USER32!__ClientCopyDDEOut2 7506bac8 7506e889 USER32!__ClientCopyImage 7506bacc 750afdcc USER32!__ClientEventCallback 7506bad0 750afe63 USER32!__ClientFindMnemChar 7506bad4 750afd50 USER32!__ClientFreeDDEHandle 7506bad8 75072eab USER32!__ClientFreeLibrary 7506badc 750afd08 USER32!__ClientGetCharsetInfo 7506bae0 750afd8e USER32!__ClientGetDDEFlags 7506bae4 750afe1d USER32!__ClientGetDDEHookData 7506bae8 750afbcb USER32!__ClientGetListboxString 7506baec 750afc77 USER32!__ClientGetMessageMPH 7506baf0 750afab6 USER32!__ClientLoadImage 7506baf4 7506aa64 USER32!__ClientLoadLibrary 7506baf8 750743bc USER32!__ClientLoadMenu 7506bafc 750b00f8 USER32!__ClientLoadLocalT1Fonts 7506bb00 750afebc USER32!__ClientPSMTextOut 7506bb04 750aff63 USER32!__ClientLpkDrawTextEx 7506bb08 750affce USER32!__ClientExtTextOutW 7506bb0c 750b003a USER32!__ClientGetTextExtentPointW 7506bb10 7508c5cc USER32!__ClientCharToWchar 7506bb14 750b0099 USER32!__ClientAddFontResourceW 7506bb18 75069d7d USER32!__ClientThreadSetup 7506bb1c 750b01d4 USER32!__ClientDeliverUserApc 7506bb20 750b016c USER32!__ClientNoMemoryPopup 7506bb24 750744d7 USER32!__ClientMonitorEnumProc 7506bb28 750733d1 USER32!__ClientCallWinEventProc 7506bb2c 750afcc9 USER32!__ClientWaitMessageExMPH 7506bb30 75070d56 USER32!__ClientWOWGetProcModule 7506bb34 750b0384 USER32!__ClientWOWTask16SchedNotify 7506bb38 750b01e7 USER32!__ClientImmLoadLayout 7506bb3c 7508d5bf USER32!__ClientImmProcessKey 7506bb40 750b0256 USER32!__fnIMECONTROL 7506bb44 750b060d USER32!__fnINWPARAMDBCSCHAR 7506bb48 75071f46 USER32!__fnGETTEXTLENGTHS 7506bb4c 750af681 USER32!__fnINLPKDRAWSWITCHWND 7506bb50 750b03cd USER32!__ClientLoadStringW 7506bb54 750bd941 USER32!__ClientLoadOLE 7506bb58 750bd7bd USER32!__ClientRegisterDragDrop 7506bb5c 750bd803 USER32!__ClientRevokeDragDrop 7506bb60 750b0335 USER32!__fnINOUTMENUGETOBJECT 7506bb64 750b0110 USER32!__ClientPrinterThunk 7506bb68 7508d48b USER32!__fnOUTLPCOMBOBOXINFO 7506bb6c 750b0475 USER32!__fnOUTLPSCROLLBARINFO 7506bb70 75075d80 USER32!__fnINLPUAHDRAWMENU 7506bb74 75075d20 USER32!__fnINLPUAHDRAWMENUITEM 7506bb78 75075cd4 USER32!__fnINLPUAHINITMENU 7506bb7c 75075ece USER32!__fnINOUTLPUAHMEASUREMENUITEM 7506bb80 7508c2ee USER32!__fnINLPUAHNCPAINTMENUPOPUP 7506bb84 750757d1 USER32!__fnOUTLPTITLEBARINFOEX 7506bb88 750b04f4 USER32!__fnTOUCH 7506bb8c 750b0553 USER32!__fnGESTURE 7506bb90 750b05b2 USER32!__fnINPGESTURENOTIFYSTRUCT 至于为什么，看看上面的代码就明白了，老V这篇写的不详细，我很想扩充来写一下 2014-4-21 16:59 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 18 楼 u can u up ,gogogo 2014-4-21 19:09 0
狗毛大圣雪币： 421 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	狗毛大圣 19 楼先膜拜各位大牛话说以前通过R3回调能够搞QQ密码后来被TX搞了不知道有没有这回事 2014-4-21 19:33 0
bitt 雪币： 435 活跃值： (1207) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 20 楼相关 http://bbs.pediy.com/showthread.php?t=105107 http://hi.baidu.com/_achillis/item/3b18870870961a143b53ee02 2014-4-22 09:22 0
vvLinker 雪币： 35 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 21 楼不明觉厉 2014-4-22 10:35 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 22 楼佩服这种死士精神 2014-4-22 15:28 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 23 楼下一步是不是要把DLL数组化,然后在RING0中运行? 2014-4-22 20:27 0
gscsnm 雪币： 438 活跃值： (93) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 169 粉丝 0 关注私信	gscsnm 24 楼哏。。。。 2014-4-23 21:38 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 25 楼 mark~ 2014-4-23 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复