本菜最近学习了什么DLL注入啊,hook啊(r3)的相关技术,觉得很好玩,于是深入发现还有DLL劫持这种东西觉得挺好玩的,加上最近看到各种木马分析报告中都还有发现有利用白加黑的现象。于是自己想找几个来玩玩,但是一个一个手动测试麻烦啊,于是想写个工具来测试目标是否存在DLL劫持漏洞的可能,于是就产生了写个工具的想法,上网一看,原来十年前都有大神写出来了,不过感觉有点麻烦,好多选项不知道干嘛的,加上本人只学了汇编和C,C++不太懂,平常都是做WINDOWS C编程,所以参考那位前辈的生成的代码改进成自己的,无奈不懂MFC ,他的源码我就没看,反正没事做,当作练练手,过程还真学了不少东西。可能有人说python三下五除二就出来。都说了无聊练习了,,,
  PS:本工具只生成常规的winowds调用方式的DLL代码,还添加了列出目标进程存在DLL劫持可能性的DLL。
  方便大家用来测试(sha)软(ren)件(fang)安(huo)全
  大神不喜勿喷啊,有错误的或者需要改进的还望指出。

0x00 工具简介
        名称:FakeLib
        开发环境:VS 2013 、 win10 x64
        开发语言:C  (纯windows sdk)
        作者:josegh

0x01 功能和使用

有两种模式:

1.1 和aHeadLib一样,选择目标DLL直接生成这里我只生成常用的调用方式代码。

图 1-1

1.2 通过查看进程列表,选择一个你感兴趣的进程,然后列出其加载的且不在系统
注册表KnownDlls中的DLL,然后选择一个目标来生成代码。

1.2.1 选择侦察模式

图 1-2
     1.2.2 选择你感兴趣的进程

图 1-3
    1.2.3 选择目标DLL 生成代码

图 1-4

0x02 实际测试

2.1 测试获取主进程函数调用参数和返回值。这里我自己写了一个测试程序
            
    2.1.1  正常 normal.dll,它导出一个函数

1
2
3
4
5
6
EXPORT DWORD add(DWORD a, DWORD b)
{
             DWORD dwret = 0;
             dwret = a + b;
            return dwret;
}

2.1.2 一个正常的loader,去调用normal.dll的add函数

1
2
3
4
5
6
7
8
9
10
11
DWORD dwResult = 0;
        DWORD a = 5, b = 6;
        add = (DWORD)GetProcAddress(hDll, "add");
        if (add != NULL)
        {
            dwResult = add(a, b);
            printf_s("loader:%d + %d = %d\n\n", a, b, dwResult);
        }
        else
            printf_s("loader:获取导出函数地址失败\n\n");
        printf_s("loader:重新获取控制权\n\n");

2.1.3 用FakeLib工具去生成一个用来劫持的DLL利用代码

图 2-1
    2.1.4 重点部分在生成的代码中添加获取参数和返回值的代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
void showArg(DWORD a, DWORD b)
{
        printf_s("fake_dll:截取到参数:a:%d  b:%d\n\n", a, b);
        return;
}
void showRet(DWORD dwret)
{
        printf_s("fake_dll:截取到返回值:%d\n\n ", dwret);
        return;
}
///////////////////////////////////////////////////////////////////////////////////
//导出函数 1
DWORD c, d, dwret;  //参数 a b,返回值dwret 在这里声明是为了不影响函数内部的堆栈
ALCDECL Fake_add()
{
//以下注释经过OD调试得出 编译环境:win10 x64 vs2013,
        //一般情况下在这里为所欲为   注意堆栈平衡
     
        __asm
        {
            push eax                //保存eax 以防目标函数用来做参数
            mov eax, [esp +0x08]    //获取参数a
            mov c,eax               
            mov eax, [esp + 0x0C] //获取参数b
            mov d,eax
            pop eax                 //恢eax
        }
        showArg(c, d);                                         
//为什么不直接printf?printf是由调用者维护堆栈平衡,而我们现在这里的函数是naked声明的
                                                                 
//不对自动维护堆栈,需要我们,为了方便,我们直接把它放到一个会维护堆栈平衡的函数里边执行
//下边的同理
        GetAddress("add"); 
//此时栈订保持的是返回地址,因为我们前面没有破坏堆栈
        __asm pop dwRetaddress[1]                      
//弹出来,下面菜可以用call,为什么用call?因为如果用直接jmp的话 想获取执行返回值有点困难
        __asm call eax                                 
//把返回地址入栈,这时候就相当于原来的返回地址被我们call的下一条指令地址入栈,这样真实函数返回后我们重新夺回控制权
        //一般情况下在这里继续为所欲为  注意堆栈平衡
        __asm push eax      //保存返回值
        __asm mov dwret ,eax
        showRet(dwret);
        __asm pop eax
        __asm jmp dword ptr dwRetaddress[1]         //跳回原函数
}
///////////////////////////////////////////////////////////////////////////////

现在我们把它改名为 normal_dll.dll 放到loader目录下,执行loader的效果:
(此前你需要把之前正常的normal_dll.dll换个名字 如normal_dll_hide.dll)

图 2-1
  loader执行结果

图 2-3 执行结果
    可以看到先是我们的dll获取到返回结果。

2.2
    略
    大家可以参考: http://www.freebuf.com/articles/78807.html
                        http://drops.wooyun.org/tips/13238#!
    乌云上也有许多例子,大家可以自己去写个测试程序,或者直接找实际的应用来测试

0x03 总结
  如果只是方便自己,我也许不会把工具的代码写得工整(自认为算是最工整的一次 - -),也不会去写界面程序。开始写导出函数的时候用的是常规的dllexport,运行的时候发现问题有点多,用OD调试发现原因是堆栈问题(菜得抠脚啊),都打算用生成汇编的算了,后面才发现有naked这种玩意,于是本着能用c就用用c的原则,最后还是选择生成c代码的方式。也算是涨姿势了。还有一点点小功能没添加,比如刷新什么的。
  还有,感觉自己菜得抠脚啊,有没有大神指点指点

0x04 使用注意
  有时候不能列出目标DLL,应该是权限问题。

源代码:
demoSrc.rar
工具Src.rar

上传的附件:

[转载]DLL劫持生成器 源码开放(纯WINDOWS SDK)+ 实例分析的更多相关文章

  1. 短链接服务Octopus的实现与源码开放

    前提 半年前(2020-06)左右,疫情触底反弹,公司的业务量不断提升,运营部门为了方便短信.模板消息推送等渠道的投放,提出了一个把长链接压缩为短链接的功能需求.当时为了快速推广,使用了一些比较知名的 ...

  2. iOS高仿app源码:纯代码打造高仿优质《内涵段子》

    iOS高仿app源码:纯代码打造高仿优质<内涵段子>收藏下来 字数1950 阅读4999 评论173 喜欢133 Github 地址 https://github.com/Charlesy ...

  3. [源码]一键获取windows系统登陆密码vc6版源码

    [源码]一键获取windows系统登陆密码vc6版源码支持:XP/2000/2003/WIN7/2008等 此版本编译出来的程序体积较小几十KB... 而vs版则1点几M,体积整整大了2-30倍对某些 ...

  4. 使用 Redis 源码编译发布 Windows 版 Redis For Windows 发行包

    Redis 是个高性能的键值数据库,现在日常项目开发过程中,目前个人开发项目基本都会用到 Redis,主要是用来做 缓存 和 分布式锁 的底层支持,个人喜欢用 .NET 技术体系,所以一般部署也是用 ...

  5. mpusher 源码编译 for windows X64

    mpusher 源码编译 for windows X64 对于java我是小白,通过一步步的摸索,将经验总结下来,给更多码友提供入门的帮助.一个人的摸索是很困难的,本教程感谢 [MPush开源消息推送 ...

  6. [转载] Java集合---HashMap源码剖析

    转载自http://www.cnblogs.com/ITtangtang/p/3948406.html 一.HashMap概述 HashMap基于哈希表的 Map 接口的实现.此实现提供所有可选的映射 ...

  7. 【转载】Spring @Async 源码解读。

    由于工作中经常需要使用到异步操作,一直在使用@Async, 今天抽空学习了一下它的执行原理,刚好看到一篇写的很棒的文章,这里转载过来做个记录,感谢原作者的无私奉献. 原文章链接地址:https://w ...

  8. CSS源码之纯css3制作的哆啦a梦图片

    本文章向大家介绍一个纯css3制作的哆啦a梦图像,主要巧妙的使用了css3的border-radius属性,需要的朋友介意参考一下本文章的源码. 效果图: 源码 <!doctype html&g ...

  9. (转载)jQuery 1.6 源码学习(一)——core.js[1]之基本架构

    在网上下了一个jQuery 1.2.6的源码分析教程,看得似懂非懂,于是还是去github上下载源码,然后慢慢看源代码学习,首先来说说core.js这个核心文件吧. jQuery整体的基本架构说起来也 ...

随机推荐

  1. Codeforces Round #428 (Div. 2) B

    B. Game of the Rows(贪心) 题意: 有k种颜色,每种有\(a_i\)个,将这k种颜色放在一个\(n * 8格子里\) 放置规则不能出现两个不同颜色在相邻的格子里,相邻的定义为在同一 ...

  2. AB序列 凹函数的性质

    链接:https://www.nowcoder.com/acm/contest/113/B来源:牛客网 题目描述 给长度为n的序列A,长度为m的序列B.可以给A序列里每个元素加上x且B序列里每个元素减 ...

  3. Three Garlands~Educational Codeforces Round 35

    C. Three Garlands time limit per test 2 seconds memory limit per test 256 megabytes input standard i ...

  4. Android横竖屏总结(转)

    Android横竖屏总结(转) 横竖屏切换后Activity会重新执行onCreat函数,但是在Android工程的Mainfest.xml中加入android:screenOrientation=& ...

  5. shell-总结【摘录】

    阅读目录 1. Shell简介 2. 几种常见的Shell 3. 编译型语言和解释型语言的区别 4. 什么时候使用Shell? 5. 第一个Shell脚本 6. Shell变量 7.Shell特殊变量 ...

  6. [Oracle] 关系型数据库排序算法和数据结构以及关联查询

    关系型数据库排序算法和数据结构以及关联查询 1. Merge sort 理解merge sort算法将有助于更好地理解数据库join操作 - merge join 算法逻辑 将2个有序的大小为N/2的 ...

  7. VS2015开发的C++应用如何不依赖Visual C++ 2015 redistributable?

    1,“项目属性,C/C++,代码生成”,“运行库改”为“多线程(/MT)”.* MT开头的是静态引用,MD开头的是动态引用,d结尾的是Debug调试版本,没有d的是Release发布版本,所以就一 共 ...

  8. React中input框设置value报错解析

    react input 不设置onChange的常见错误截图 表单是前端非常重要的一块内容,并且往往包含了错误校验等逻辑.  React对表单元素做了专门的优化处理,他对表单元素做了一些抽象,使得他们 ...

  9. 【转载】SQL server connection KeepAlive

    1.什么是SQL server TCP连接的keep Alive? 简单说,keep alive 是SQL server在建立每一个TCP 连接的时候,指定了TCP 协议的keepaliveinter ...

  10. 设计模式原则总结--读《大话设计模式》有感 <转>

    读了<大话设计模式>,摘录该书中讲到的设计模式几大原则,供日后使用. 一.单一职责原则 就一个类而言,应该仅有一个引起它变化的原因.如果一个类承担的职责过多,就等于把这些职责耦合在一起,一 ...