[讨论]如何不释放资源DLL到硬盘并注入别的进程运行-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]如何不释放资源DLL到硬盘并注入别的进程运行

发表于: 2014-5-7 23:33 14043

[讨论]如何不释放资源DLL到硬盘并注入别的进程运行

xJJuno

2014-5-7 23:33

14043

内存加载资源DLL的看到蛮多的了
不晓得如果注入的话要如何实现
假设现有现成的DLL
不对DLL做任何改写
仅把DLL作为资源或数组形式写在自身文件
如何编程实现

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・5

免费・0

支持

最新回复 (28) 1 2 ▶
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼可执行文件，都是从硬盘加载到内存的不排除一些非常规手段，类似PE装载器，可以从自身加载 2014-5-8 00:45 0
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 10 关注私信	sidyhe 1 3 楼从系统的角度讲，任何镜像都是从文件加载的都是经过ZwOpenFile，ZwCreateSection，ZwMapViewSection，再插入LDR来实现的如果你不想释放文件，只能自己模拟镜像的加载，而模拟加载的镜像是不能被系统所承认的在系统看来，模拟加载的镜像仅仅是一块普通的内存而已 2014-5-8 01:04 0
HelloCrack 雪币： 225 活跃值： (367) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 211 粉丝 1 关注私信	HelloCrack 4 楼用dll劫持 2014-5-8 08:58 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 5 楼自身加载的看到论坛上有不少人发过了但这样的注入方法能否实现呢 2014-5-8 13:19 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 6 楼看来实现的难度挺大 2014-5-8 13:20 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 7 楼想实现硬盘上不存在DLL的注入法 2014-5-8 13:21 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 8 楼写个shellcode远程内存LoadDLL就行了~把DLL作为一块内存投递给shellcode就行了~ 在目标进程申请一大块内存，把DLL复制进去在目标进程申请另一个大块内存，把shellcode复制进去远程线程在目标进程运行 shellcode，参数是dll那大块内存。然后问题就解决了~ 2014-5-8 13:37 0
alazif 雪币： 74 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 9 楼 ←_←不知道这个想法可不可行, 首先 ,申请一块内存 ,把dll 按照peloader的方式加载到这块内存中. 然后申请一块 Mapping File ,吧dll那块内存拷贝到Mapping File里, 然后对目标进程创建远线程，远线程里执行包括申请一块内存，读取Mapping File并拷贝到那块内存中，再重定位和修复导入表....... 2014-5-11 14:58 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 10 楼从网络加载DLL到内存。。。 2014-5-11 15:36 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 11 楼大块内存法 2014-5-11 18:10 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 12 楼同大块内存法的思路 2014-5-11 18:11 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 13 楼貌似都是要用shellcode才能实现了 2014-5-11 18:13 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 207 关注私信	安于此生 34 14 楼恩,分析过类似样本是通过shellcode来实现的 2014-5-14 14:05 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 15 楼难怪找不到相关源码高大上的技术 2014-5-14 17:36 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 16 楼 99cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0G2K9r3W2@1j5h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1K9i4y4U0N6i4y4K6i4K6u0r3N6r3!0H3K9h3y4Q4x3V1j5@1x3o6p5$3x3q4)9J5k6r3W2F1K9X3g2U0N6q4)9J5k6r3y4G2k6r3g2Q4x3X3c8A6L8Y4c8G2i4K6u0V1L8%4c8Z5k6i4u0Q4x3X3c8H3M7X3!0U0k6i4y4K6k6i4y4Q4x3X3c8#2M7$3W2F1k6#2)9J5k6s2m8W2i4K6u0V1K9h3&6B7k6h3y4@1K9h3!0F1i4K6u0r3 没有dll，所有功能都在exe中实现，无需释放文件到磁盘 2014-5-27 10:49 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 17 楼 J师傅,上次不是给你发了一个load 的 shellcode吗. 2014-5-27 11:18 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 18 楼找了个还需要获取地址的这个竟然不用获取地址 2014-5-27 18:34 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 19 楼那个是LOAD硬盘DLL吧 2014-5-27 18:35 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 20 楼不用啊,传的一个参数是内存地址. 2014-5-27 19:54 0
萧柚雪币： 26 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	萧柚 21 楼可以考虑采用代码注入，注入的代码中包含PeLoader代码. 2014-5-28 17:25 0
heting 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	heting 22 楼可以无dll,也不用写shellcode 用数据结构，里面全是指针，往目标进程里写入多次，写好多，就用两段结构相减，就是要写大小。原理就是kernel32.dll里的函数的地址，都一样。 2014-6-8 18:43 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 23 楼同求一份。。。。8爷发个附件吧！ 2014-6-8 19:54 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 24 楼那是一个朋友写的. 只支持xp. 2014-6-8 23:09 0
madkarl 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	madkarl 25 楼简单说就是在程序里申请一块内存然后根据PE加载的格式把你的DLL填入内存就行了。 2014-6-9 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xJJuno

发帖

397

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼可执行文件，都是从硬盘加载到内存的不排除一些非常规手段，类似PE装载器，可以从自身加载 2014-5-8 00:45 0
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 10 关注私信	sidyhe 1 3 楼从系统的角度讲，任何镜像都是从文件加载的都是经过ZwOpenFile，ZwCreateSection，ZwMapViewSection，再插入LDR来实现的如果你不想释放文件，只能自己模拟镜像的加载，而模拟加载的镜像是不能被系统所承认的在系统看来，模拟加载的镜像仅仅是一块普通的内存而已 2014-5-8 01:04 0
HelloCrack 雪币： 225 活跃值： (367) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 211 粉丝 1 关注私信	HelloCrack 4 楼用dll劫持 2014-5-8 08:58 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 5 楼自身加载的看到论坛上有不少人发过了但这样的注入方法能否实现呢 2014-5-8 13:19 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 6 楼看来实现的难度挺大 2014-5-8 13:20 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 7 楼想实现硬盘上不存在DLL的注入法 2014-5-8 13:21 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 8 楼写个shellcode远程内存LoadDLL就行了~把DLL作为一块内存投递给shellcode就行了~ 在目标进程申请一大块内存，把DLL复制进去在目标进程申请另一个大块内存，把shellcode复制进去远程线程在目标进程运行 shellcode，参数是dll那大块内存。然后问题就解决了~ 2014-5-8 13:37 0
alazif 雪币： 74 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 9 楼 ←_←不知道这个想法可不可行, 首先 ,申请一块内存 ,把dll 按照peloader的方式加载到这块内存中. 然后申请一块 Mapping File ,吧dll那块内存拷贝到Mapping File里, 然后对目标进程创建远线程，远线程里执行包括申请一块内存，读取Mapping File并拷贝到那块内存中，再重定位和修复导入表....... 2014-5-11 14:58 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 10 楼从网络加载DLL到内存。。。 2014-5-11 15:36 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 11 楼大块内存法 2014-5-11 18:10 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 12 楼同大块内存法的思路 2014-5-11 18:11 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 13 楼貌似都是要用shellcode才能实现了 2014-5-11 18:13 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 207 关注私信	安于此生 34 14 楼恩,分析过类似样本是通过shellcode来实现的 2014-5-14 14:05 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 15 楼难怪找不到相关源码高大上的技术 2014-5-14 17:36 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 16 楼 99cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0G2K9r3W2@1j5h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1K9i4y4U0N6i4y4K6i4K6u0r3N6r3!0H3K9h3y4Q4x3V1j5@1x3o6p5$3x3q4)9J5k6r3W2F1K9X3g2U0N6q4)9J5k6r3y4G2k6r3g2Q4x3X3c8A6L8Y4c8G2i4K6u0V1L8%4c8Z5k6i4u0Q4x3X3c8H3M7X3!0U0k6i4y4K6k6i4y4Q4x3X3c8#2M7$3W2F1k6#2)9J5k6s2m8W2i4K6u0V1K9h3&6B7k6h3y4@1K9h3!0F1i4K6u0r3 没有dll，所有功能都在exe中实现，无需释放文件到磁盘 2014-5-27 10:49 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 17 楼 J师傅,上次不是给你发了一个load 的 shellcode吗. 2014-5-27 11:18 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 18 楼找了个还需要获取地址的这个竟然不用获取地址 2014-5-27 18:34 0
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 19 楼那个是LOAD硬盘DLL吧 2014-5-27 18:35 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 20 楼不用啊,传的一个参数是内存地址. 2014-5-27 19:54 0
萧柚雪币： 26 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	萧柚 21 楼可以考虑采用代码注入，注入的代码中包含PeLoader代码. 2014-5-28 17:25 0
heting 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	heting 22 楼可以无dll,也不用写shellcode 用数据结构，里面全是指针，往目标进程里写入多次，写好多，就用两段结构相减，就是要写大小。原理就是kernel32.dll里的函数的地址，都一样。 2014-6-8 18:43 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 23 楼同求一份。。。。8爷发个附件吧！ 2014-6-8 19:54 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 24 楼那是一个朋友写的. 只支持xp. 2014-6-8 23:09 0
madkarl 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	madkarl 25 楼简单说就是在程序里申请一块内存然后根据PE加载的格式把你的DLL填入内存就行了。 2014-6-9 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复