[求助]隐藏注入的DLL问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp (+5.00雪花) 2 楼用了类似cstring这些类似库都会附带依赖的DLL 进去，要单独处理或者改用其他方法。 2019-4-20 18:08 (+5.00雪花) 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 3 楼楼主电脑上装什么杀毒软件？ 2019-4-20 20:19 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 (+5.00雪花) 4 楼看雪有帖子介绍了怎么解决mfc资源崩溃的问题，搜一下 2019-4-20 20:21 (+5.00雪花) 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 5 楼看雪有帖子介绍了怎么解决mfc资源崩溃的问题，搜一下 2019-4-20 20:21 0
游乐娃子雪币： 7248 活跃值： (5078) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 250 粉丝 42 关注私信	游乐娃子 (+30.00雪花) 6 楼 string wsting 都属于类对象,而类对象初始化的时候会申请一段内存用于存放类成员.DLL卸载自身后可能会释放掉这些内存. 试试重定位好后,重新调用一下 PIMAGE_NT_HEADERS->OptionalHeader->AddressOfEntryPoint (DLLMAIN入口) 2019-4-21 03:49 (+30.00雪花) 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 7 楼 Rookietp 用了类似cstring这些类似库都会附带依赖的DLL 进去，要单独处理或者改用其他方法。 MT编译应该是不会附带依赖的DLL的，而且调试跟进构造函数确实没有用到其它DLL 2019-4-22 07:51 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 8 楼不是用MFC的框架也会崩溃，所以也不会是MFC 资源问题 2019-4-22 07:52 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 9 楼 lononan string wsting 都属于类对象,而类对象初始化的时候会申请一段内存用于存放类成员.DLL卸载自身后可能会释放掉这些内存. 试试重定位好后,重新调用一下 PIMAGE_NT_HEADERS- ... 确实是内存问题，跟进去是一个CALL eax 不知道call 到哪里去了，如果DLL不卸载自身是没问题的，不过有个疑问局部变量string 等不是执行了代码才构造内存的吗，为什么还会和原来的DLL地址有关呢 2019-4-22 07:56 0
游乐娃子雪币： 7248 活跃值： (5078) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 250 粉丝 42 关注私信	游乐娃子 10 楼萝卜牛肉确实是内存问题，跟进去是一个CALL eax 不知道call 到哪里去了，如果DLL不卸载自身是没问题的，不过有个疑问局部变量string 等不是执行了代码才构造内存的吗，为什么还会和原来的DLL ... 因为string是属于C++运行时库管理的,DLL卸载了,运行时库会自动销毁string这些类申请的内存,对运行时库我一直都是这么理解的. 2019-4-22 12:58 0
无名蛋蛋雪币： 63 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	无名蛋蛋 (+10.00雪花) 11 楼方便的话，发你的代码给我，我帮你调一下。 2019-4-22 12:59 (+10.00雪花) 0
游乐娃子雪币： 7248 活跃值： (5078) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 250 粉丝 42 关注私信	游乐娃子 12 楼萝卜牛肉确实是内存问题，跟进去是一个CALL eax 不知道call 到哪里去了，如果DLL不卸载自身是没问题的，不过有个疑问局部变量string 等不是执行了代码才构造内存的吗，为什么还会和原来的DLL ... VS现在编译的DLL,默认的DLLMAIN不是真正的入口,如果你自己#pragma comment(linker,"/entry:DllMain")重定义入口函数,你会发现用到的运行时库组件(比如sting)的时候无法通过编译,因为string这些东西调用的时候,会加载运行时库并调用运行时库初始化函数(调用过程是放在vs封装好的入口里,不是DLLMAIN),用于管理运行时库组件运行过程产生的内存,当DLL卸载的时候会自动帮我们把这些内存销毁掉,这就是为什么string这些东西用着那么方便,还没有内存泄露的原因. 2019-4-22 13:12 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 13 楼无名蛋蛋方便的话，发你的代码给我，我帮你调一下。多谢了，我想现在我有点明白原因了，自已应该可以调试出来 2019-4-22 21:50 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 14 楼非常感谢你们的解答，好人一生平安最后于 2019-4-22 22:01 被萝卜牛肉编辑，原因： 2019-4-22 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp (+5.00雪花) 2 楼用了类似cstring这些类似库都会附带依赖的DLL 进去，要单独处理或者改用其他方法。 2019-4-20 18:08 (+5.00雪花) 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 3 楼楼主电脑上装什么杀毒软件？ 2019-4-20 20:19 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 (+5.00雪花) 4 楼看雪有帖子介绍了怎么解决mfc资源崩溃的问题，搜一下 2019-4-20 20:21 (+5.00雪花) 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 5 楼看雪有帖子介绍了怎么解决mfc资源崩溃的问题，搜一下 2019-4-20 20:21 0
游乐娃子雪币： 7248 活跃值： (5078) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 250 粉丝 42 关注私信	游乐娃子 (+30.00雪花) 6 楼 string wsting 都属于类对象,而类对象初始化的时候会申请一段内存用于存放类成员.DLL卸载自身后可能会释放掉这些内存. 试试重定位好后,重新调用一下 PIMAGE_NT_HEADERS->OptionalHeader->AddressOfEntryPoint (DLLMAIN入口) 2019-4-21 03:49 (+30.00雪花) 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 7 楼 Rookietp 用了类似cstring这些类似库都会附带依赖的DLL 进去，要单独处理或者改用其他方法。 MT编译应该是不会附带依赖的DLL的，而且调试跟进构造函数确实没有用到其它DLL 2019-4-22 07:51 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 8 楼不是用MFC的框架也会崩溃，所以也不会是MFC 资源问题 2019-4-22 07:52 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 9 楼 lononan string wsting 都属于类对象,而类对象初始化的时候会申请一段内存用于存放类成员.DLL卸载自身后可能会释放掉这些内存. 试试重定位好后,重新调用一下 PIMAGE_NT_HEADERS- ... 确实是内存问题，跟进去是一个CALL eax 不知道call 到哪里去了，如果DLL不卸载自身是没问题的，不过有个疑问局部变量string 等不是执行了代码才构造内存的吗，为什么还会和原来的DLL地址有关呢 2019-4-22 07:56 0
游乐娃子雪币： 7248 活跃值： (5078) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 250 粉丝 42 关注私信	游乐娃子 10 楼萝卜牛肉确实是内存问题，跟进去是一个CALL eax 不知道call 到哪里去了，如果DLL不卸载自身是没问题的，不过有个疑问局部变量string 等不是执行了代码才构造内存的吗，为什么还会和原来的DLL ... 因为string是属于C++运行时库管理的,DLL卸载了,运行时库会自动销毁string这些类申请的内存,对运行时库我一直都是这么理解的. 2019-4-22 12:58 0
无名蛋蛋雪币： 63 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	无名蛋蛋 (+10.00雪花) 11 楼方便的话，发你的代码给我，我帮你调一下。 2019-4-22 12:59 (+10.00雪花) 0
游乐娃子雪币： 7248 活跃值： (5078) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 250 粉丝 42 关注私信	游乐娃子 12 楼萝卜牛肉确实是内存问题，跟进去是一个CALL eax 不知道call 到哪里去了，如果DLL不卸载自身是没问题的，不过有个疑问局部变量string 等不是执行了代码才构造内存的吗，为什么还会和原来的DLL ... VS现在编译的DLL,默认的DLLMAIN不是真正的入口,如果你自己#pragma comment(linker,"/entry:DllMain")重定义入口函数,你会发现用到的运行时库组件(比如sting)的时候无法通过编译,因为string这些东西调用的时候,会加载运行时库并调用运行时库初始化函数(调用过程是放在vs封装好的入口里,不是DLLMAIN),用于管理运行时库组件运行过程产生的内存,当DLL卸载的时候会自动帮我们把这些内存销毁掉,这就是为什么string这些东西用着那么方便,还没有内存泄露的原因. 2019-4-22 13:12 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 13 楼无名蛋蛋方便的话，发你的代码给我，我帮你调一下。多谢了，我想现在我有点明白原因了，自已应该可以调试出来 2019-4-22 21:50 0
萝卜牛肉雪币： 297 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	萝卜牛肉 14 楼非常感谢你们的解答，好人一生平安最后于 2019-4-22 22:01 被萝卜牛肉编辑，原因： 2019-4-22 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[已解决] [求助]隐藏注入的DLL问题 50.00雪花