大家有没有试过64位DLL注入到32位EXE程序，研究过的可以说下思路-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (31) ◀ 1 2
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 4 关注私信	czcqq 2 26 楼不好意思啊！经过一段时间的思考，发现我错了，64位DLL注入到32位EXE程序，是可以的！方法很简单，不知道是不是微软有意限制了这个功能！我照抄了LoadLibrary的源代码（这个是我修改自WRK和泄漏的WIN2000的NT内核的源代码，有点古老了，不过能用就好)，去掉了其中的限制，我发现真的能将64位的DLL加载到32位程序当中！如果真的能加载的话，我就可以使用NtCreateThread来创建一个64位线程，给这个线程传入一个转换好的64位的结构地址，那么函数的调用问题也就解决了！真不好意思啊！因为我前面的失误，带给你这么多错误的信息！ 2016-3-14 14:48 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 103 关注私信	blindtiger 1 27 楼 392K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Y4k6h3!0J5k6$3g2F1K9h3y4G2L8r3q4G2N6g2)9J5c8W2M7$3y4r3!0i4L8#2M7$3y4l9`.`. 自行参观 2016-3-28 04:12 0
yimingqpa 雪币： 7187 活跃值： (5186) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 58 关注私信	yimingqpa 1 28 楼自己写个32位DLL注入到这个进程，然后PELOADER一下64位的DLL. 2016-3-28 09:41 0
zazazabo 雪币： 112 活跃值： (501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 0 关注私信	zazazabo 29 楼 64位进程能不能把32位的dll注入到32位进程的？ 2016-3-28 10:14 0
studymu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	studymu 30 楼山总准备到wow64.dll里面找数据了 2016-3-28 11:10 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 31 楼能不能跟踪下loadlibrary的过程，看看64位dll进入32位进程的时候，是在dll装载的哪个阶段出错的，是数据装载错误？重定向的错误？指令转入错误？如果是在装在完成后，执行dllmain的时候，出错，应该是可以通过修改指令实现注入的。 2016-3-31 09:09 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 4 关注私信	czcqq 2 32 楼这个不用想都知道，是在映射的时候出错的，这时候系统会检查DLL版本，发现版本不对的话，就直接返回错误！ 2016-4-1 13:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (31) ◀ 1 2
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 4 关注私信	czcqq 2 26 楼不好意思啊！经过一段时间的思考，发现我错了，64位DLL注入到32位EXE程序，是可以的！方法很简单，不知道是不是微软有意限制了这个功能！我照抄了LoadLibrary的源代码（这个是我修改自WRK和泄漏的WIN2000的NT内核的源代码，有点古老了，不过能用就好)，去掉了其中的限制，我发现真的能将64位的DLL加载到32位程序当中！如果真的能加载的话，我就可以使用NtCreateThread来创建一个64位线程，给这个线程传入一个转换好的64位的结构地址，那么函数的调用问题也就解决了！真不好意思啊！因为我前面的失误，带给你这么多错误的信息！ 2016-3-14 14:48 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 103 关注私信	blindtiger 1 27 楼 392K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Y4k6h3!0J5k6$3g2F1K9h3y4G2L8r3q4G2N6g2)9J5c8W2M7$3y4r3!0i4L8#2M7$3y4l9`.`. 自行参观 2016-3-28 04:12 0
yimingqpa 雪币： 7187 活跃值： (5186) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 58 关注私信	yimingqpa 1 28 楼自己写个32位DLL注入到这个进程，然后PELOADER一下64位的DLL. 2016-3-28 09:41 0
zazazabo 雪币： 112 活跃值： (501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 0 关注私信	zazazabo 29 楼 64位进程能不能把32位的dll注入到32位进程的？ 2016-3-28 10:14 0
studymu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	studymu 30 楼山总准备到wow64.dll里面找数据了 2016-3-28 11:10 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 31 楼能不能跟踪下loadlibrary的过程，看看64位dll进入32位进程的时候，是在dll装载的哪个阶段出错的，是数据装载错误？重定向的错误？指令转入错误？如果是在装在完成后，执行dllmain的时候，出错，应该是可以通过修改指令实现注入的。 2016-3-31 09:09 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 4 关注私信	czcqq 2 32 楼这个不用想都知道，是在映射的时候出错的，这时候系统会检查DLL版本，发现版本不对的话，就直接返回错误！ 2016-4-1 13:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复