首页
社区
课程
招聘
求一份可以 加载系统dll的 PELOADER 类似于ZP的DLL模拟
发表于: 2016-4-25 09:53 5179

求一份可以 加载系统dll的 PELOADER 类似于ZP的DLL模拟

2016-4-25 09:53
5179
内存加载DLL代码很多.  比如 MemoryLoader  还有其它朋友分享的 PELOADER  不过都是在XP 下成功.  在WIN7 x64 上失败  (读取的dll为路径为wow64) !

随便加载 WIN7 x64 上任何一个dll (kernel32.dll , user32.dll ... )  _Loadlibrary = 0

原因在于 调用内存 DllMain 返回 0

但是... ZP壳的模拟却很成功!

MemoryLoadLibrary源码
http://www.codeforge.com/read/250309/MemoryModule.cpp__html

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 4516
活跃值: (5144)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
我有完美的,但是是私人代码,不会免费放出来,如果你实在兴趣且别无选择可以联系

上传的附件:
2016-4-25 11:51
0
雪    币: 4378
活跃值: (4368)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
[QUOTE=sonyps;1426788]我有完美的,但是是私人代码,不会免费放出来,如果你实在兴趣且别无选择可以联系

[/QUOTE]

看上去没发现哪里是内存加载了啊...   看得到DLL名字  那不是直接LoadLibrary 可以加载吗?
2016-4-25 12:59
0
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
4
mark
2016-4-25 13:15
0
雪    币: 4378
活跃值: (4368)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
[QUOTE=sonyps;1426788]我有完美的,但是是私人代码,不会免费放出来,如果你实在兴趣且别无选择可以联系

[/QUOTE]

兄弟是不是弄错了啊? ... 内存加载DLL 还能看到DLL名字......

内存中加载DLL是申请的一块内存好嘛  不是 Dll_LoadEx.exe 的功能.
2016-4-25 17:34
0
雪    币: 1981
活跃值: (771)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
6
LPBYTE lpMagic = (LPBYTE)"\x8D\x85\xD7\xF9\xFF\xFF\x50\x8D\x85\xD8\xF9\xFF\xFF\x50\x56\xE8";
for (DWORD i = 0; i <  dwSize - 16; i++)
{
	if (memcmp(lpNewDllBase + i, lpMagic, 16) == 0)
	{
		memcpy(lpNewDllBase + i + 13, (LPBYTE)"\x90\x90\xB8\x00\x00\x00\x00", 7);
		break;
	}
}


load kernel32.dll的时候,在调用dllmain前先这样patch掉ConnectConsoleInternal的调用
2016-4-25 19:53
0
雪    币: 677
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
https://github.com/DarthTon/Blackbone
功能很全
2016-4-25 21:04
0
雪    币: 4378
活跃值: (4368)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
同样谢谢兄弟!
2016-4-25 22:00
0
雪    币: 4516
活跃值: (5144)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
9
是内存加载的
2016-4-25 22:03
0
雪    币: 4378
活跃值: (4368)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
非常感谢.原来如此.
2016-4-25 22:04
0
雪    币: 4378
活跃值: (4368)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
User32 的 MessageBoxA  好像照此 PATCH此函数点 不成功!
2016-4-25 22:30
0
游客
登录 | 注册 方可回帖
返回
//