AheadLib: 215K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6k6L8$3&6K6L8g2)9J5c8V1q4Z5k6h3q4V1e0r3W2T1i4K6u0o6 27bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3b7h3S2W2j5h3c8x3K9h3u0Q4x3X3c8^5z5o6k6Q4x3X3c8^5y4U0b7`.
AddExport: https://bbs.pediy.com/thread-154269.htm
技术上就是:动态加载函数和函数转发。
AheadLib
是动态加载函数;
AddExport
是函数转发,不过呢是修改编译后 dll 的方式。
函数转发没见源代码实现方式。于是,就做了这个工具,技术上基于函数转发
,产生 C 源代码,可修改性高,操作灵活。
编译函数转发
,完全依赖于 MSVC linker。其它编译器的 linker 不支持函数转发。
举例来说:
主程序 test_dll.c
依赖的 dll 源文件 name_mangling.c
关于Dll hijack,早就有人研究过了:
AheadLib: 215K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6k6L8$3&6K6L8g2)9J5c8V1q4Z5k6h3q4V1e0r3W2T1i4K6u0o6 27bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3b7h3S2W2j5h3c8x3K9h3u0Q4x3X3c8^5z5o6k6Q4x3X3c8^5y4U0b7`.
AddExport: https://bbs.pediy.com/thread-154269.htm
技术上就是:动态加载函数和函数转发。
AheadLib
是动态加载函数;
AddExport
是函数转发,不过呢是修改编译后 dll 的方式。
函数转发没见源代码实现方式。于是,就做了这个工具,技术上基于函数转发
,产生 C 源代码,可修改性高,操作灵活。
编译函数转发
,完全依赖于 MSVC linker。其它编译器的 linker 不支持函数转发。
举例来说:
主程序 test_dll.c
#include <stdlib.h>
#include <stdio.h>
int __cdecl _e (int x);
int __cdecl f (int x);
int __stdcall g (int x);
int __fastcall h (int x);
int main(int argc, char **argv)
{
printf("%d\n", _e(1));
printf("%d\n", f(2));
printf("%d\n", g(3));
printf("%d\n", h(4));
return 0;
}
依赖的 dll 源文件 name_mangling.c
#include <stdlib.h>
__declspec(dllexport) int __cdecl _e (int x) { return x; }
__declspec(dllexport) int __cdecl f (int x) { return x; }
__declspec(dllexport) int __stdcall g (int x) { return x; }
__declspec(dllexport) int __fastcall h (int x) { return x; }
编译后,产生可运行的
test_dll.
exe 和
name_mangling.dll。
使用工具,可根据
name_mangling.dll 产生 name_mangling~.c
// Created by hijackdll-helper
/* There should be dll hijacking possible first! */
/* cl.exe /Os /GD /LD /Fe */
/* 5e5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2L8W2)9J5k6i4N6A6K9$3W2H3k6h3c8A6j5g2)9J5k6h3!0J5k6#2)9J5c8Y4N6A6K9$3W2Q4x3V1k6z5j5h3#2W2i4K6g2X3L8h3q4F1k6$3I4A6L8X3N6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6u0m8i4K6u0r3
#include <windows.h>
/* Don't forward to itself!
"C:\Windows\System32\version" is acceptable ;p
*/
#define HIJACKED_DLL_NAME "name_mangling_" //<--- modify
/* gcc does't support this. */
#pragma comment(linker, "/EXPORT:__e="HIJACKED_DLL_NAME"._e,@1")
#pragma comment(linker, "/EXPORT:_g@4="HIJACKED_DLL_NAME"._g@4,@2")
#pragma comment(linker, "/EXPORT:f="HIJACKED_DLL_NAME".f,@3")
#pragma comment(linker, "/EXPORT:h="HIJACKED_DLL_NAME".h,@4")
// Add your implementations here, and comment the forwarders <---
extern int sideload(); //<---
/* Less dependencies: _DllMainCRTStartup
More functions: DllMain
Take care of the core libs yourself: msvcrt, kernel32, ntdll, user32 */
BOOL WINAPI _DllMainCRTStartup(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
switch (dwReason) {
case DLL_PROCESS_ATTACH:
sideload(); //<---
break;
/*
case DLL_PROCESS_DETACH:
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
*/
}
return TRUE;
}
旁路 sideload.c
#include <windows.h>
__declspec(dllexport) void sideload (void)
{
MessageBox (0, "test", "From DLL", MB_ICONINFORMATION);
}
编译后,产生
name_mangling~.dll 和 sideload.dll 。
把原来的
name_mangling.dll 重命名为
name_mangling_.dll,name_mangling~.dll
重命名为
name_mangling.dll,放在一起即可验证劫持。可以使用 depends 查看。
最后,要说的是利用方式,可以有两种:
1,自己实现要修改的函数;2,从 dll 入口(旁路)加载额外的代码(当然把代码写进来也行,不过分离到其它 dll 更易于维护)。
生成的 c 文件中 “<---”标明了主要操作点。
开源地址:b65K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3k6W2L8X3A6G2K9h3&6W2M7W2)9J5c8X3S2A6K9X3q4U0K9$3c8D9L8q4)9#2k6X3S2W2L8s2m8W2M7R3`.`.
#include <stdlib.h>
#include <stdio.h>
int __cdecl _e (int x);
int __cdecl f (int x);
int __stdcall g (int x);
int __fastcall h (int x);
int main(int argc, char **argv)
{
printf("%d\n", _e(1));
printf("%d\n", f(2));
printf("%d\n", g(3));
printf("%d\n", h(4));
return 0;
}#include <stdlib.h>
__declspec(dllexport) int __cdecl _e (int x) { return x; }
__declspec(dllexport) int __cdecl f (int x) { return x; }
__declspec(dllexport) int __stdcall g (int x) { return x; }
__declspec(dllexport) int __fastcall h (int x) { return x; }
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-3-18 09:35
被walkier编辑
,原因: 补一下附件。之前明明选了附件的~
