[样章1]《加密与解密(第三版)》--18.2.4 DLL劫持技术（内存补丁技术）-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[样章1]《加密与解密(第三版)》--18.2.4 DLL劫持技术（内存补丁技术）

发表于: 2008-3-8 17:07 231000

[样章1]《加密与解密(第三版)》--18.2.4 DLL劫持技术（内存补丁技术）

kanxue

2008-3-8 17:07

231000

我是从CoDe_Inject帮助下才了解这个DLL劫持技术（或称HOOK），利用这个制作内存补丁非常的好用。
Yonsm在几年前，写了个工具AheadLib，可以很方便地生成各类DLL头文件，见本帖2楼。
这种补丁方法，适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。

00401496 EB 29 jmp short 004014C1

 
unsigned char p401496[2] = {0xEB, 0x29};
WriteProcessMemory(hProcess,(LPVOID)0x401496, p401496, 2, NULL);

#pragma comment(linker, "/EXPORT:SomeFunc=DllWork.someOtherFunc")

#pragma comment(linker, "/EXPORT:WSAStartup=_MemCode_WSAStartup,@115")

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

184.gif （6.79kb，13645次下载）
185.gif （22.51kb，13558次下载）
演示实例.rar （1.29MB，1944次下载）
ws2_32.zip （11.95kb，1673次下载）
LPK.rar （19.57kb，675次下载）

收藏・100

免费・1

支持

最新回复 (117) 1 2 3 4 5 ▶
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼 Yonsm写的一款工具AheadLib 2.2.150 ，用来生成DLL相关头文件。类似工具dummy也写过一款：http://bbs.pediy.com/showthread.php?t=50460 http://www.yonsm.net/read.php?170 2005/01/14 09:26 一、简介　　AheadLib 是用来生成一个特洛伊DLL的工具，用于分析DLL中的函数参数调用（比如记录Socket send了什么等等）、更改函数功能（随心所欲了：）、更改界面功能（比如在Hook里面生成一个按钮，截获事件等等）。二、使用　　1.用 AheadLib 打开要模拟的 DLL，生成一个 CPP 文件。　　2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程，把这个 CPP 文件加入到项目中。　　3.使用 Release 方式编译，生成的 DLL 将和原来的 DLL 具有一模一样的导出函数，并且能顺利把这些函数转发到原来的函数中。　　4.AheadLib 还可以生成 Hook 代码，用于截取当前进程的所有消息，这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。三、备注　　1.如果导出函数过多，在 Visual Studio 6.0 中，如果出现编译错误，请在项目属性关闭与编译头功能。　　2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话，生成的函数声明将会还原成原代码级别（可能需要修改才能编译，比如导出C++类的情况）。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。　　3.如果是 NONAME 或者 C _CDECL 方式导出（比如 DEF 导出，大多数Windows DLL都是这种情况，比如WS2_32等等），则使用#pragma comment(linker, "/EXPORT:...)导出，且指定导出序号。　　4.如果系统中没有 DbgHelp.dll，将无法识别 C++ 模式的导出。主页：http://www.yonsm.net 邮件：Yonsm@163.com 源码：如果需要，请访问作者主页上传的附件： AheadLib.rar （34.52kb，2045次下载） AheadLib 2.2.150 源代码.rar （85.52kb，1645次下载） 2008-3-8 18:19 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 3 楼很期待第三版，不知能否买到kanxue签名的书？ 2008-3-8 18:29 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 4 楼关于 VC++ 2005 或以后 compile 产生的 exe 与 dll 的新方式 http://www.itwriting.com/blog/?postid=261 2008-3-8 18:32 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 5 楼期待新书ing 老大书里面有没有写关于带壳调试方面的内容？ 2008-3-8 19:17 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 6 楼这个感觉没太必要，只要调试器能加载目标软件，相关代码没被虚拟机等处理过，就可调试分析。 2008-3-8 19:18 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 7 楼期待新书…… 2008-3-8 19:45 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 8 楼学习了期待新书早日面世 2008-3-8 19:55 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 9 楼关于hijack趣谈 http://www.engsky.com/html/2006-07/1606.html 词语趣谈：Hijack -说Hi打招呼,然后再抢劫? Hijack 这个字是“抢劫”的意思，据说是因为过去歹徒会假装成搭便车的路人，拦到车后都先假装友好，跟司机说 Hi 打招呼，然后再实施抢劫。传说美国在颁行禁酒令(1920-1933)初期，歹徒常常打劫运酒车. 他们抢司机时的命令是："Stick 'em up high, Jack!" 或 " Up high, Jack!" (兄弟, 把手高举起来!) 因为这句话, 人们于是称他们是 highjacker, 再简写为 hijacker, 然后才有动词 hijack 的产生。另外还有一种说法，歹徒要打劫运酒车时，先会假装成搭便车的路人(hitch-hiker) 要求搭乘便车(thumb a lift)，拦到车后对司机的第一句话是：" Hi, Jack!"。于是，hijack 便成了“抢劫”的代名词。 2008-3-8 19:56 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 10 楼期待全面学习新书，看雪3.8献好礼 2008-3-8 20:00 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 11 楼学习+支持+期待 2008-3-8 20:13 0
dlina 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	dlina 12 楼 3,8赶上个好机会,收下学习了. 2008-3-8 20:17 0
backer 雪币： 1634 活跃值： (1382) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 121 关注私信	backer 1 13 楼可惜，以后不灵了 2008-3-8 20:25 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 14 楼好书，有钱就一定买了。呵呵 2008-3-8 21:52 0
yongpeng 雪币： 159 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 169 粉丝 0 关注私信	yongpeng 1 15 楼 2008-3-8 22:00 0
ysfeagle 雪币： 177 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	ysfeagle 16 楼期待希望能拿到书吧 2008-3-8 22:22 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 17 楼很好很强大……可惜我才看到…… 作业好多阿…… 2008-3-8 22:25 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 18 楼真希望书早一点上市...... 2008-3-8 22:45 0
davidhee 雪币： 732 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 140 粉丝 1 关注私信	davidhee 19 楼 c看得总是一知半解，要是书中有Delphi代码就更完美了...... 分享一个EPE1201的工具，算是支持。上传的附件： RunEPE_dll_.rar （13.11kb，198次下载） 2008-3-8 22:51 0
joephoenix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	joephoenix 20 楼不错不错，是我想了解的东西~~~~ 2008-3-9 00:32 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 21 楼不懂,学习了!!! 2008-3-9 10:38 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 22 楼诱惑,这绝对是诱惑! 让我吃不好饭睡不着觉,书出版的晚让俺等着已经够难受了~~ 还发一个样板让俺看了前不着头后不着店的,让俺过瘾一半~~ kanxue老大得赔偿俺精神损失费~ 2008-3-9 10:51 0
myvc 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	myvc 23 楼期待第三版的上市 2008-3-9 10:51 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 24 楼我买的书,kanxue你一定要帮偶签名!! 这样我就可天天抱着它了到时你给个网行,我打钱,由你签名发书,这是偶想要的! 2008-3-9 10:56 0
hdy981 雪币： 14 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 175 粉丝 0 关注私信	hdy981 25 楼有没有各位大牛签名的版本出售啊 2008-3-9 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanxue

2375

发帖

17046

回帖

350

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (117) 1 2 3 4 5 ▶
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼 Yonsm写的一款工具AheadLib 2.2.150 ，用来生成DLL相关头文件。类似工具dummy也写过一款：http://bbs.pediy.com/showthread.php?t=50460 http://www.yonsm.net/read.php?170 2005/01/14 09:26 一、简介　　AheadLib 是用来生成一个特洛伊DLL的工具，用于分析DLL中的函数参数调用（比如记录Socket send了什么等等）、更改函数功能（随心所欲了：）、更改界面功能（比如在Hook里面生成一个按钮，截获事件等等）。二、使用　　1.用 AheadLib 打开要模拟的 DLL，生成一个 CPP 文件。　　2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程，把这个 CPP 文件加入到项目中。　　3.使用 Release 方式编译，生成的 DLL 将和原来的 DLL 具有一模一样的导出函数，并且能顺利把这些函数转发到原来的函数中。　　4.AheadLib 还可以生成 Hook 代码，用于截取当前进程的所有消息，这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。三、备注　　1.如果导出函数过多，在 Visual Studio 6.0 中，如果出现编译错误，请在项目属性关闭与编译头功能。　　2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话，生成的函数声明将会还原成原代码级别（可能需要修改才能编译，比如导出C++类的情况）。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。　　3.如果是 NONAME 或者 C _CDECL 方式导出（比如 DEF 导出，大多数Windows DLL都是这种情况，比如WS2_32等等），则使用#pragma comment(linker, "/EXPORT:...)导出，且指定导出序号。　　4.如果系统中没有 DbgHelp.dll，将无法识别 C++ 模式的导出。主页：http://www.yonsm.net 邮件：Yonsm@163.com 源码：如果需要，请访问作者主页上传的附件： AheadLib.rar （34.52kb，2045次下载） AheadLib 2.2.150 源代码.rar （85.52kb，1645次下载） 2008-3-8 18:19 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 3 楼很期待第三版，不知能否买到kanxue签名的书？ 2008-3-8 18:29 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 4 楼关于 VC++ 2005 或以后 compile 产生的 exe 与 dll 的新方式 http://www.itwriting.com/blog/?postid=261 2008-3-8 18:32 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 5 楼期待新书ing 老大书里面有没有写关于带壳调试方面的内容？ 2008-3-8 19:17 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 6 楼这个感觉没太必要，只要调试器能加载目标软件，相关代码没被虚拟机等处理过，就可调试分析。 2008-3-8 19:18 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 7 楼期待新书…… 2008-3-8 19:45 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 8 楼学习了期待新书早日面世 2008-3-8 19:55 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 9 楼关于hijack趣谈 http://www.engsky.com/html/2006-07/1606.html 词语趣谈：Hijack -说Hi打招呼,然后再抢劫? Hijack 这个字是“抢劫”的意思，据说是因为过去歹徒会假装成搭便车的路人，拦到车后都先假装友好，跟司机说 Hi 打招呼，然后再实施抢劫。传说美国在颁行禁酒令(1920-1933)初期，歹徒常常打劫运酒车. 他们抢司机时的命令是："Stick 'em up high, Jack!" 或 " Up high, Jack!" (兄弟, 把手高举起来!) 因为这句话, 人们于是称他们是 highjacker, 再简写为 hijacker, 然后才有动词 hijack 的产生。另外还有一种说法，歹徒要打劫运酒车时，先会假装成搭便车的路人(hitch-hiker) 要求搭乘便车(thumb a lift)，拦到车后对司机的第一句话是：" Hi, Jack!"。于是，hijack 便成了“抢劫”的代名词。 2008-3-8 19:56 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 10 楼期待全面学习新书，看雪3.8献好礼 2008-3-8 20:00 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 11 楼学习+支持+期待 2008-3-8 20:13 0
dlina 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	dlina 12 楼 3,8赶上个好机会,收下学习了. 2008-3-8 20:17 0
backer 雪币： 1634 活跃值： (1382) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 121 关注私信	backer 1 13 楼可惜，以后不灵了 2008-3-8 20:25 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 14 楼好书，有钱就一定买了。呵呵 2008-3-8 21:52 0
yongpeng 雪币： 159 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 169 粉丝 0 关注私信	yongpeng 1 15 楼 2008-3-8 22:00 0
ysfeagle 雪币： 177 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	ysfeagle 16 楼期待希望能拿到书吧 2008-3-8 22:22 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 17 楼很好很强大……可惜我才看到…… 作业好多阿…… 2008-3-8 22:25 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 18 楼真希望书早一点上市...... 2008-3-8 22:45 0
davidhee 雪币： 732 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 140 粉丝 1 关注私信	davidhee 19 楼 c看得总是一知半解，要是书中有Delphi代码就更完美了...... 分享一个EPE1201的工具，算是支持。上传的附件： RunEPE_dll_.rar （13.11kb，198次下载） 2008-3-8 22:51 0
joephoenix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	joephoenix 20 楼不错不错，是我想了解的东西~~~~ 2008-3-9 00:32 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 21 楼不懂,学习了!!! 2008-3-9 10:38 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 22 楼诱惑,这绝对是诱惑! 让我吃不好饭睡不着觉,书出版的晚让俺等着已经够难受了~~ 还发一个样板让俺看了前不着头后不着店的,让俺过瘾一半~~ kanxue老大得赔偿俺精神损失费~ 2008-3-9 10:51 0
myvc 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	myvc 23 楼期待第三版的上市 2008-3-9 10:51 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 24 楼我买的书,kanxue你一定要帮偶签名!! 这样我就可天天抱着它了到时你给个网行,我打钱,由你签名发书,这是偶想要的! 2008-3-9 10:56 0
hdy981 雪币： 14 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 175 粉丝 0 关注私信	hdy981 25 楼有没有各位大牛签名的版本出售啊 2008-3-9 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复