神奇的马甲Dll By 海风月影[RCT]
很多人想知道如何利用类似lpk.dll这样的dll来patch程序(可能这个论坛上人不多),这篇文章详细介绍了这样的DLL劫持技术:为什么会有dll劫持,如何使用,以及如何防范,希望大家喜欢附件里面是一篇WORD写的文章,以及修复fishpe这个驱动壳SDK的lpk例子源码
[ 本帖最后由 海风月影 于 2008-6-12 20:11 编辑 ] 这项技术确实不错-在不改变原程序的基础上-呵呵-省的有人找麻烦,毕竟没改程序-呵呵 这项技术不错,特别对难脱的,非常有用。 论文水准很高。和国际接轨了。:P 不夠2萬字,導師不同意過.
剛才大致看了一下,少了一種情況,并不需要强制把劫持的dll定向到本地,記得以前搞Winscard的時候就是把原始dll改名后加載的.....微軟很懶,記得那個時候就寫信給它,討論木馬dll的問題,建議微軟校驗系統dll的加載,可惜直到Vista問世,依舊如此.
PS:後來弄R6複製鎖的人把setupapi玩的出神入化,縱使飛天的一代智能鎖倒在了系統的加載上.
[ 本帖最后由 unpackcn12 于 2008-6-12 21:57 编辑 ] 经测试lpk.dll在W indows SP3下一样有效! 原帖由 unpackcn12 于 2008-6-12 21:39 发表 http://www.unpack.cn/images/common/back.gif
不夠2萬字,導師不同意過.
剛才大致看了一下,少了一種情況,并不需要强制把劫持的dll定向到本地,記得以前搞Winscard的時候就是把原始dll改名后加載的.....微軟很懶,記得那個時候就寫信給它,討論木馬dll的問題,建議微 ...
少哪种情况? 原帖由 海风月影 于 2008-6-12 22:06 发表 http://www.unpack.cn/images/common/back.gif
少哪种情况?
譬如劫持NTDLL,完全可以把NTDLL改名NT.dll,再在新的NTDLL裡面決定是否加載NT.dll.新的NTDLL跟NT.dll一樣在原始的系統目錄下.
大致就是這個意思. 真是一篇好文章 ^_^ 原帖由 unpackcn12 于 2008-6-12 22:12 发表 http://www.unpack.cn/images/common/back.gif
譬如劫持NTDLL,完全可以把NTDLL改名NT.dll,再在新的NTDLL裡面決定是否加載NT.dll.新的NTDLL跟NT.dll一樣在原始的系統目錄下.
大致就是這個意思.
你给个截图看看,我没本事劫持ntdll.dll
如果是替换系统dll,那个需要通过系统文件保护之类的事情,超出这篇文章讨论的范围了
[ 本帖最后由 海风月影 于 2008-6-12 22:22 编辑 ] 原帖由 海风月影 于 2008-6-12 22:21 发表 http://www.unpack.cn/images/common/back.gif
你给个截图看看,我没本事劫持ntdll.dll
如果是替换系统dll,那个需要通过系统文件保护之类的事情,超出这篇文章讨论的范围了
你沒理解我的意思,劫持系統dll并不一樣要定向到local目錄.
廣義的來說,跟HOOK一個道理,順序而已. 你说的东西应该和我的不一样,我这个劫持原理来源于系统加载DLL的搜索顺序,如果有SafeDllSearchMode,除了当前目录,是不太可能用其他目录劫持的 16位系统目录 是哪个目录呢 ? 不知道以后 MS 会不会把这个LPK拿掉哦 :rose 学习