[原创]关于内存加载MFC DLL问题研究与解决-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]关于内存加载MFC DLL问题研究与解决

发表于: 2016-1-14 11:05 19112

[原创]关于内存加载MFC DLL问题研究与解决

zywzjn

2016-1-14 11:05

19112

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

内存加载DLL之MFC DLL问题研究.pdf （322.93kb，850次下载）
内存加载DLL（修复MFC DLL加载失败）.zip （49.20kb，814次下载）

收藏・35

免费・7

支持

最新回复 (24)
FadeTrack 雪币： 70 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	FadeTrack 1 2 楼收藏，，谢谢分享 2016-1-14 11:42 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 3 楼真的是好东西啊先顶再看！大牛有没有内存注入DLL 不让DLL落地的例子啊。 2016-1-14 12:21 0
SnowRen 雪币： 15973 活跃值： (4177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	SnowRen 4 楼收藏了，谢谢分享 2016-1-14 12:27 0
layerfsd 雪币： 8188 活跃值： (2847) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 5 楼不错，提出问题解决问题并公开解决方案，楼主好人。 2016-1-14 14:15 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 6 楼 NtQueryAttributesFile NtOpenFile NtCreateSection NtMapViewOfSection NtClose NtQuerySection hook这几个api, 然后调LdrLoadDll让系统走正常流程, 把内存里的dll map过去就好了 2016-1-14 14:42 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 7 楼内存加载mfc dll本来就没有什么问题吧...重点是怎么显示mfc的窗口控件？不过也感谢分享 2016-1-14 15:18 0
dahubaobao 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	dahubaobao 8 楼很久以前研究过，觉得解决成本过高，所以干脆直接用ATL写界面了，memorymudule可以直接加载用。 2016-1-14 15:53 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 9 楼收藏了，谢谢分享 2016-1-14 16:22 0
samshine 雪币： 265 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	samshine 10 楼自己添加LDR结构信息这样是不是丢失了内存加载隐藏dll的意义了 2016-1-14 16:46 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 11 楼支持感谢楼主 2016-1-14 17:04 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 12 楼这个真的是就如ls所说,脱裤子放屁, 完全没有意义了,mem load dll就是为了隐藏，自己添加进去,我还不如直接load呢 2016-1-20 10:12 0
zywzjn 雪币： 198 活跃值： (957) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	zywzjn 13 楼 12楼目的性太强了，我只是发现问题，研究问题，解决问题，仅供参考学习交流。你要是觉得对你达到某种隐藏目的没用，大可以忽略，或自行研究更好方式，拿出来分享吧。没必要说话这么难听？ 2016-1-20 10:40 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 14 楼好吧,语言可能是苛刻了点, 想到那说那了,别介意, 2016-1-20 16:04 0
koflfy 雪币： 102 活跃值： (2060) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 15 楼求隐藏load dll 2016-1-20 16:32 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 16 楼哥们，想问下，内存加载MFC dll 实现了加载MFC窗口控件了吗 2016-6-5 23:41 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 17 楼让系统加载，再卸载后copy内存就可以了 2016-6-6 01:39 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 18 楼其实怎么加载都好决解，关键是怎么不给暴力扫描到，这才是重点。 2016-6-6 02:18 0
遗忘雪夜雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	遗忘雪夜 19 楼谢谢分享 2016-8-1 21:09 0
柚子Z 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	柚子Z 20 楼同求啊！，谢谢LZ分享。 2016-8-2 15:20 0
NCai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	NCai 21 楼好东东，膜拜 2016-11-1 10:08 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 22 楼正常加载，然后再PEB中拿掉相关dll记录的链表就可以隐藏啦 2016-11-15 23:49 0
wangjietx 雪币： 169 活跃值： (298) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	wangjietx 23 楼如果是跨进程reload mfc dll，这个GetModuleFileName问题要怎么解决 2017-5-22 17:03 0
大佬求关照雪币： 6 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 24 楼也就是在DLL 的IAT表里HOOK GetModuleFileName就可以了？ 2022-2-23 08:07 0
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 25 楼 dahubaobao 很久以前研究过，觉得解决成本过高，所以干脆直接用ATL写界面了，memorymudule可以直接加载用。开个帖细说 2022-4-14 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zywzjn

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
FadeTrack 雪币： 70 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	FadeTrack 1 2 楼收藏，，谢谢分享 2016-1-14 11:42 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 3 楼真的是好东西啊先顶再看！大牛有没有内存注入DLL 不让DLL落地的例子啊。 2016-1-14 12:21 0
SnowRen 雪币： 15973 活跃值： (4177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	SnowRen 4 楼收藏了，谢谢分享 2016-1-14 12:27 0
layerfsd 雪币： 8188 活跃值： (2847) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 5 楼不错，提出问题解决问题并公开解决方案，楼主好人。 2016-1-14 14:15 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 6 楼 NtQueryAttributesFile NtOpenFile NtCreateSection NtMapViewOfSection NtClose NtQuerySection hook这几个api, 然后调LdrLoadDll让系统走正常流程, 把内存里的dll map过去就好了 2016-1-14 14:42 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 7 楼内存加载mfc dll本来就没有什么问题吧...重点是怎么显示mfc的窗口控件？不过也感谢分享 2016-1-14 15:18 0
dahubaobao 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	dahubaobao 8 楼很久以前研究过，觉得解决成本过高，所以干脆直接用ATL写界面了，memorymudule可以直接加载用。 2016-1-14 15:53 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 9 楼收藏了，谢谢分享 2016-1-14 16:22 0
samshine 雪币： 265 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	samshine 10 楼自己添加LDR结构信息这样是不是丢失了内存加载隐藏dll的意义了 2016-1-14 16:46 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 11 楼支持感谢楼主 2016-1-14 17:04 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 12 楼这个真的是就如ls所说,脱裤子放屁, 完全没有意义了,mem load dll就是为了隐藏，自己添加进去,我还不如直接load呢 2016-1-20 10:12 0
zywzjn 雪币： 198 活跃值： (957) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	zywzjn 13 楼 12楼目的性太强了，我只是发现问题，研究问题，解决问题，仅供参考学习交流。你要是觉得对你达到某种隐藏目的没用，大可以忽略，或自行研究更好方式，拿出来分享吧。没必要说话这么难听？ 2016-1-20 10:40 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 14 楼好吧,语言可能是苛刻了点, 想到那说那了,别介意, 2016-1-20 16:04 0
koflfy 雪币： 102 活跃值： (2060) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 15 楼求隐藏load dll 2016-1-20 16:32 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 16 楼哥们，想问下，内存加载MFC dll 实现了加载MFC窗口控件了吗 2016-6-5 23:41 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 17 楼让系统加载，再卸载后copy内存就可以了 2016-6-6 01:39 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 18 楼其实怎么加载都好决解，关键是怎么不给暴力扫描到，这才是重点。 2016-6-6 02:18 0
遗忘雪夜雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	遗忘雪夜 19 楼谢谢分享 2016-8-1 21:09 0
柚子Z 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	柚子Z 20 楼同求啊！，谢谢LZ分享。 2016-8-2 15:20 0
NCai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	NCai 21 楼好东东，膜拜 2016-11-1 10:08 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 22 楼正常加载，然后再PEB中拿掉相关dll记录的链表就可以隐藏啦 2016-11-15 23:49 0
wangjietx 雪币： 169 活跃值： (298) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	wangjietx 23 楼如果是跨进程reload mfc dll，这个GetModuleFileName问题要怎么解决 2017-5-22 17:03 0
大佬求关照雪币： 6 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 24 楼也就是在DLL 的IAT表里HOOK GetModuleFileName就可以了？ 2022-2-23 08:07 0
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 25 楼 dahubaobao 很久以前研究过，觉得解决成本过高，所以干脆直接用ATL写界面了，memorymudule可以直接加载用。开个帖细说 2022-4-14 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复