dll注入

实验环境： win7 、 kali 实验工具：微信；BDF 劫持工具，可用于 DLL 注入； Process Explorer 任务管理工具，本实验中用于查找微信程序调用的 DLL 文件 在 win7 中安装微信 BDF 、 Process Explore 在 windows 启动 pe 、微信 在 pe 中找到 wechat 在 view 中找到 dlls 记住微信的安装路径，查看微信的 libEGL.dll 文件 回到 kali 执行 nautilus ./ 打开窗口 将 libEGL.dll 放在该文件路径下 执行命令处理 dll 文件 查看 backdoored 将处理后的 dll 文件通过 ftp 上传到 window 中 开启 postgresql 启用 msfconsole 使用 exploit 设置 payload 设置监听地址和端口，查看 在win7中打开微信，就能在kali中接受到反弹的shell 来源： https://www.cnblogs.com/shayanboy/p/11644960.html

最近刚好在做PPT的dll劫持测试，现在就随便拿一个程序来练练手。增加一下熟练度。本测试纯属学习测试过程，不可用于非法操作！！！ 一、测试环境 工具下载地址： (1)BDF，劫持工具，可用于DLL注入，https://github.com/cream492/the- backdoor-factory (2)ProcessExplorer https://process-explorer.en.softonic.com/任务管理工具，本实验中用于查找微信程序调用的 DLL 文件 二、测试过程 1 在 Win7 虚拟机中打开微信登录窗口，需要扫描登录的窗口即可；然 后开启 ProcessExplorer，在运行程序列表中找到微信，然后在菜单栏中找“View”—>“LowerPaneView”—>“DLLs”,或者 ctrl+d， 接下来可以看到微信登录页面调用的动态链接库 如下图所示 测试使用的DLL是libEGL.DLL 文件 理论在微信安装目录下其他的DLL文件都可以 有待测试 2 在kali 中下载 Backdoor - factory www.gendan5.com 执行 ./backdoor.py -h 出现测试安装是否成功 将 Win7 安装的微信程序目录中的 libEGL.dll 拷贝到 kali 系统中，放于 the-backdoor-factory 下，运行命令如下：

测试环境 系统:Windows 10 64bit 注入目标: Ps2模拟器 主要思路: 1.使用进程PID打开进程,获得句柄 2.使用进程句柄申请内存空间 3.把dll路径写入内存 4.创建远程线程,调用LoadLibrary 5.释放收尾工作或者卸载dll 主要函数: 主要代码: 1 bool InjectDll(SIZE_T szPid) 2 { 3 //1.远线程注入 4 HANDLE hProcess = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ, 5 NULL, szPid); 6 7 if (hProcess == INVALID_HANDLE_VALUE) { 8 printf("打开进程失败！"); 9 return false; 10 } 11 //2.在远程进程中申请空间 12 LPVOID pszDllName = VirtualAllocEx(hProcess, NULL, 4096, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 13 //3

转载自大神CSDN博主「九阳道人」 版权声明：本文为CSDN博主「九阳道人」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。 原文链接： https://blog.csdn.net/qq_31507523/article/details/88309060 QQ连连看单机版辅助制作全流程 最近在15PB学习逆向，分析了个小游戏并写出了辅助工具，在这里总结下全流程。 游戏：QQ连连看(单机版1.2) 完成目标： 1.去除广告 2.完成指南针、炸弹消除的功能 3.编写注入程序和游戏辅助的DLL 使用工具：VS2017、OD、CE、PEID、Spy++ 分析环境：Win7虚拟机 首先在百度上搜索“QQ连连看单机版”随便下了个V1.2版的，把它解压到桌面然后进入文件夹。 仔细观察下都有些什么文件，这很重要，有可能得到一些有利于破解的信息。 1. 在这里观察到有两个可执行的EXE文件、两个音乐文件夹，这都是比较重要的信息。 2. 用PEID擦看下这两个EXE程序基本信息，得以得出"kyodai.exe"程序是VC6.0的编译器编写的，游戏一般都是C++语言编写，而"QQ连连看单机版V1.2.exe"是一个加壳的程序，常见压缩壳ASpack这就忽略它，也能分析。 3. 双击"kyodai.exe"程序后回崩溃如图。 4. 那么就确定了开始游戏的程序