[讨论]内存加载运行的DLL,怎么复制DLL自身进硬盘-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼为毛要释放文件？ 2016-10-3 17:03 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 3 楼貌似好久没见VXK大神了, 释放文件肯定是有别的用途,哈哈，讨论下标题的问题, 2016-10-3 17:34 0
sxpp 雪币： 231 活跃值： (2666) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 4 楼既然都释放啦，为什么不直接加载呢 2016-10-3 18:11 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 5 楼 PS: sxpp 使用环境的限制 2016-10-3 19:17 0
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 6 楼这个……直接让宿主释放呀或者根据hinstance直接dump下来？ 2016-10-3 19:32 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 7 楼根据描述，这个dll不是LZ写的所以LZ是想把dll文件提取出来分析综合判断，LZ有做病毒分析或做反外挂之嫌疑 2016-10-3 21:02 0
chsml 雪币： 274 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 73 粉丝 2 关注私信	chsml 1 8 楼你这个DLL本身就是自己（宿主）加载的，是自定义方式加载的标准windows API当然无法获取名字之类的信息（宿主可以给些HOOK之后的对应API来模拟，但就你的描述的情况显然不是这样）要从内存中获取保存到文件，就只能dump重建PE，这涉及到很多PE知识，跟写壳、脱壳差不多重建难度跟这个DLL修改程度相关，比如他抹去了PE头你就要重构PE头等，反正就是还原成标准PE 如果他没修改，只是自己加载的，直接用loadpe等工具dump dll即可（更简单的，procmon找到原始文件复制一份）如果你只需要代码段，直接用工具dump出内存就行了（自己写代码就用VirtraulQuery相关函数获取长度） 2016-10-3 21:09 0
chsml 雪币： 274 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 73 粉丝 2 关注私信	chsml 1 9 楼 DLL是你自己的？完整未修改的PE文件？自己dump自己，这个需求真有点奇葩那用VQM系列函数获取内存中个个节，dump出来，还原导入表、重定位表等重构自己就行了参考这个 4d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Y4L8r3#2U0k6r3!0F1j5g2)9J5c8W2m8J5L8$3y4W2M7%4y4Q4x3X3c8p5N6h3#2H3 2016-10-3 21:20 0
sealmoon 雪币： 23 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	sealmoon 10 楼既然是内存加载DLL, 那就找Loader的代码啊 ,找到后在加载前钩住不就有DLL了. 2016-10-4 00:09 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 11 楼你们语文明显学的不好啊,回答的都不合题目. 具体点就是用DLLBOX加载的DLL,在DLL中实现个将DLL本身释放到硬盘上,就这么个意思. 2016-10-4 09:07 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 12 楼楼上没说错，找Loader代码在没加载前DUMP出来就是文件加载后还原为文件难度较大。 2016-10-4 17:27 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 13 楼内存加载前就备份一块DLL文件内存 2016-10-4 19:03 0
Hacker小浪雪币： 56 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	Hacker小浪 14 楼是自己的DLL先备份在写出来 2016-10-5 13:42 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 15 楼 3c8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3k6r3q4D9k6i4u0C8k6q4)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3y4e0l9$3z5o6R3%4z5e0l9`. 给出了详细的步骤说明，相信按照其你可以得到你想要的。而我身边并没有现在的包。 2016-10-19 11:37 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 4 关注私信	czcqq 2 16 楼你是不是，是想自己加载自己的DLL之后，动态更改其中的代码，然后将更改的代码写回原文件？这个简单啦！根据PE文件的内存对齐值和文件对齐值，将代码在的内存地址转换成文件上的指针，然后写入就行了！ 2016-11-17 20:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼为毛要释放文件？ 2016-10-3 17:03 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 3 楼貌似好久没见VXK大神了, 释放文件肯定是有别的用途,哈哈，讨论下标题的问题, 2016-10-3 17:34 0
sxpp 雪币： 231 活跃值： (2666) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 4 楼既然都释放啦，为什么不直接加载呢 2016-10-3 18:11 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 5 楼 PS: sxpp 使用环境的限制 2016-10-3 19:17 0
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 6 楼这个……直接让宿主释放呀或者根据hinstance直接dump下来？ 2016-10-3 19:32 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 7 楼根据描述，这个dll不是LZ写的所以LZ是想把dll文件提取出来分析综合判断，LZ有做病毒分析或做反外挂之嫌疑 2016-10-3 21:02 0
chsml 雪币： 274 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 73 粉丝 2 关注私信	chsml 1 8 楼你这个DLL本身就是自己（宿主）加载的，是自定义方式加载的标准windows API当然无法获取名字之类的信息（宿主可以给些HOOK之后的对应API来模拟，但就你的描述的情况显然不是这样）要从内存中获取保存到文件，就只能dump重建PE，这涉及到很多PE知识，跟写壳、脱壳差不多重建难度跟这个DLL修改程度相关，比如他抹去了PE头你就要重构PE头等，反正就是还原成标准PE 如果他没修改，只是自己加载的，直接用loadpe等工具dump dll即可（更简单的，procmon找到原始文件复制一份）如果你只需要代码段，直接用工具dump出内存就行了（自己写代码就用VirtraulQuery相关函数获取长度） 2016-10-3 21:09 0
chsml 雪币： 274 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 73 粉丝 2 关注私信	chsml 1 9 楼 DLL是你自己的？完整未修改的PE文件？自己dump自己，这个需求真有点奇葩那用VQM系列函数获取内存中个个节，dump出来，还原导入表、重定位表等重构自己就行了参考这个 4d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Y4L8r3#2U0k6r3!0F1j5g2)9J5c8W2m8J5L8$3y4W2M7%4y4Q4x3X3c8p5N6h3#2H3 2016-10-3 21:20 0
sealmoon 雪币： 23 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	sealmoon 10 楼既然是内存加载DLL, 那就找Loader的代码啊 ,找到后在加载前钩住不就有DLL了. 2016-10-4 00:09 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 11 楼你们语文明显学的不好啊,回答的都不合题目. 具体点就是用DLLBOX加载的DLL,在DLL中实现个将DLL本身释放到硬盘上,就这么个意思. 2016-10-4 09:07 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 12 楼楼上没说错，找Loader代码在没加载前DUMP出来就是文件加载后还原为文件难度较大。 2016-10-4 17:27 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 13 楼内存加载前就备份一块DLL文件内存 2016-10-4 19:03 0
Hacker小浪雪币： 56 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	Hacker小浪 14 楼是自己的DLL先备份在写出来 2016-10-5 13:42 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 15 楼 3c8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3k6r3q4D9k6i4u0C8k6q4)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3y4e0l9$3z5o6R3%4z5e0l9`. 给出了详细的步骤说明，相信按照其你可以得到你想要的。而我身边并没有现在的包。 2016-10-19 11:37 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 4 关注私信	czcqq 2 16 楼你是不是，是想自己加载自己的DLL之后，动态更改其中的代码，然后将更改的代码写回原文件？这个简单啦！根据PE文件的内存对齐值和文件对齐值，将代码在的内存地址转换成文件上的指针，然后写入就行了！ 2016-11-17 20:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复