DLL劫持实验 - 使用AheadLib工具

最新推荐文章于 2026-05-18 12:38:47 发布
原创 最新推荐文章于 2026-05-18 12:38:47 发布 · 5.2k 阅读 · 10
本文详细介绍了如何进行DLL劫持实验,分别针对32位程序「360文件粉碎机独立版.exe」和64位程序「Windows计算器」。实验涉及使用PEview分析DLL依赖,通过修改注册表排除受保护的DLL,利用 AheadLib 生成劫持代码,并在VC++6.0或VS2010环境下编译DLL。在实验过程中,展示了如何在360文件粉碎器运行时弹出提示框,并探讨了在64位环境下编译DLL遇到的问题及解决方法。

$ DLL劫持实验 - 使用AheadLib工具

参考文档:
实验过程:https://www.write-bug.com/article/1883.html
如何判断程序是32位还是64位:https://blog.csdn.net/qq_23308823/article/details/54898119
使用VS2010编译64位DLL:https://blog.csdn.net/l527719041/article/details/77434652/
工具来源:
AheadLib:https://bbs.pediy.com/thread-224408.htm
PEview:https://www.onlinedown.net/soft/977166.htm
Process Monitor:http://www.pc6.com/softview/SoftView_15853.html

一、背景

​ 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。
​ DLL加载过程:

  1. 程序所在目录
  2. 程序加载目录
  3. 系统目录即SYSTEM32目录
  4. 16位系统目录即SYSTEM目录
  5. Windows目录
  6. PATH环境变量中列出的目录

​ 同时,还通过“Know DLLs注册表项”确定应用程序所要调用的DLL的路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo

最低0.47元/天 解锁文章
0ne_B1t
关注
AheadLib DLL劫持
06-05
AheadLib 可以生成CPP或者VS2022的工程,DLL劫持必备,支持X86和X64
AheadLib-x86-x64:hijack dll源代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
【免费下载】 PCHunter V1.6 版 已签名 下载
最新发布
gitblog_09711的博客
05-18 1637
本仓库提供的是 **PCHunter V1.6 版 已签名** 的资源文件下载。该版本适用于 **Win10 21H1 版本以下** 的操作系统。经过本人亲测,在 **Win10 21H1 19043.1237 版本** 上使用无任何问题。 ## 使用说明 1. **下载资源**:请直接在本仓库中下载 **PCHunter V1.6 版 已签名** 的资源文件。 2. **安装与使用**:下载
AheadLib 源代码
03-22
AheadLib 源代码,分析DLL的必备工具,也可用于劫持生成。
使用AheadLib生成DLL劫持代码
hambaga的博客
09-01 5214
程序加载DLL会有一个优先级顺序,其中,最先加载的是同一目录下的DLLDLL劫持的原理是在程序的同目录下放一个自己写的DLL,让程序将我们伪造的DLL加载进去,然后在我们的DLL里调用真正DLL的函数。 借助 AheadLib 工具我们可以很方便的伪造DLL。比如,我们想劫持user32.dll,只需将user32.dll的路径填入,然后生成CPP代码。 看一下生成的代码,由于user32.dll里面函数很多,有1213个,所以代码非常长。 接下来,创建一个DLL项目,将代码放进去编译,设置项目编码为
基于AheadLib工具进行DLL劫持
LYSM
06-24 4373
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术。DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形
基于aheadlib工具进行DLL劫持
qq_55515447的博客
03-13 2074
AheadLib 是一款强大的工具,专门用于生成CPP代码或VS2022工程,适用于DLL劫持场景。该工具支持X86和X64架构,是进行DLL劫持操作的必备工具。功能特点生成CPP代码:AheadLib 能够自动生成适用于DLL劫持的CPP代码,简化开发流程。VS2022工程生成:支持生成VS2022工程文件,方便开发者直接在Visual Studio中进行开发和调试。多架构支持:全面支持X86和X64架构,满足不同平台的需求。使用场景。
【免费下载】 AheadLib DLL劫持工具介绍
gitblog_09795的博客
10-15 1434
AheadLib DLL劫持工具介绍 【下载地址】AheadLibDLL劫持工具介绍 AheadLib 是一款强大的工具,专门用于生成CPP代码或VS2022工程,适用于DLL劫持场景。该工具支持X86和X64架构,是进行DLL劫持操作的必备工具 ...
AheadLib火山PC专用版以及使用教程
乐易论坛_只做原创编程培训教程_易语言教程_易语言源码_易语言视频教程_易语言论坛
05-07 717
程序加载DLL会有一个优先级顺序,其中,最先加载的是同一目录下的DLLDLL劫持的原理是在程序的同目录下放一个自己写的DLL,让程序将我们伪造的DLL加载进去,然后在我们的DLL里调用真正DLL的函数。借助 AheadLib 工具我们可以很方便的伪造DLL,而我通过优化工具以及搭配的工具,可以快速建立火山的劫持补丁项目,更加方便的编写劫持代码。AheadLib火山PC专用版以及使用教程 - 火山编程-火山编程交流网。
Windows x86/x64 动态库劫持
如人饮水冷暖自知
03-15 4037
从调用约定开始简述x64动态库劫持技术,并通过AheadLib实现对x64架构下动态库的劫持,以及如何在目标函数调用前后记录传递的参数和返回值。 原文:论Windows x64下动态库劫持技术
AheadLib 2.2.150
weixin_34337381的博客
01-15 510
  一、简介   AheadLib 是用来生成一个特洛伊DLL工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立...
反编译DLL文件为.CPP工具
12-19
一、简介   AheadLib 是用来生成一个特洛伊DLL工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。 二、使用   1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。   2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程,把这个 CPP 文件加入到项目中。   3.使用 Release 方式编译,生成的 DLL 将和原来的 DLL 具有一模一样的导出函数,并且能顺利把这些函数转发到原来的函数中。   4.AheadLib 还可以生成 Hook 代码,用于截取当前进程的所有消息,这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。 三、备注   1.如果导出函数过多,在 Visual Studio 6.0 中,如果出现编译错误,请在项目属性关闭与编译头功能。   2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话,生成的函数声明将会还原成原代码级别(可能需要修改才能编译,比如导出C++类的情况)。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。   3.如果是 NONAME 或者 C _CDECL 方式导出(比如 DEF 导出,大多数Windows DLL都是这种情况,比如WS2_32等等),则使用#pragma comment(linker, "/EXPORT:...)导出,且指定导出序号。   4.如果系统中没有 DbgHelp.dll,将无法识别 C++ 模式的导出。
AheadLib用于DLL却持
09-12
一个很好的用于DLL却持技术的工具.支持多线程
反编译DLL文件为.CPP工具 - AheadLib 使用说明
gitblog_06794的博客
04-17 552
反编译DLL文件为.CPP工具 - AheadLib 使用说明 【下载地址】反编译DLL文件为.CPP工具-AheadLib使用说明 AheadLib是一款功能强大的DLL文件反编译工具,专为开发者设计,能够将DLL文件转换为CPP代码,便于深入分析和修改。该工具支持函数参数调用细节的记录、自定义函数功能的修改,并通过H...
AheadLib进行简单的DLL注入
I have a dream
10-26 6184
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先编写要注入的DLL文件:dllTest_dll.dll 只进行两个数的简单相加 #include "dllTest_dll.h" int add(int x,int y) { return x+y; } DLL的头文件dllT
dll挟持神器 - AheadLib 2.2.150 转
cnmqw的专栏
08-11 521
http://www.tinpont.com/software/aheadlib.html dll挟持神器 - AheadLib 2.2.150(源码) Yonsm是一位传说中的大神,他在04年发布的DebugTrack调试字符串显示工具到现在还非常流行。 在05年的时候,他发布了AheadLib,这款在当时名噪一时的划时代软件。AheadLib主要功能是分析dll的输出函数,生成含有对应...
dll劫持(一)
u010470511的专栏
03-06 783
工具:    AheadLib,可以直接生成.cpp文件修改入口函数。步骤:    一、PCHunter查看程序加载了哪些dll    二、选取导出函数比较少的dll,作为劫持对象,用AheadLib可生成dll的CPP文件    三、新建dll工程,将二生成的CPP内容复制,并修改入口函数实现自己的代码    四、最后生成记得:常规-目标文件名-改为需要劫持dll的文件名,将dll放入程序目录...
转发式劫持
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
02-25 388
使用生成的cpp文件编译,将原来的dll改名为voice_helperOrg.dll。能够成功劫持,但劫持后影响正常程序运行。这里可以使用工具AheadLib。生成一个64位的payload。目前wx最新版仍然有相同的问题。
探索高效PE工具箱:AheadLib x86 + x64 两个版本
gitblog_06759的博客
05-26 920
探索高效PE工具箱:AheadLib x86 + x64 两个版本 【下载地址】AheadLibx86x64两个版本 AheadLib是一款功能强大的PE工具箱,支持x86与x64双版本,专为开发者设计。它可以帮助生成特洛伊DLL,分析DLL函数参数调用,修改函数功能,甚至Hook界面功能。通过AheadLib,您可以轻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值