精易论坛

标题: 升级加载内存Dll，兼容性极佳 [打印本页]

作者: mmlai8 时间: 2022-9-29 19:17
标题: 升级加载内存Dll，兼容性极佳
本源码是根据【全网首发】加载Dll时直接转向内存Dll，兼容性极佳修改而来

原作者的源码在加载的时候还需要一个同名正常的傀儡Dll 才可以使用

我再此基础上增加了伪装加载文件的功能，实现了，不需要真实DLL就可以加载的目的

在 LoadLibrary 的时候会先cha询文件是否存在，我HOOK了 NtQueryAttributesFile 函数，让其返回文件存在的假象

然后 NtOpenFile 的时候将原文件名指向到一个真实的系统DLL（这个可以随意设置，只要是存在的就可以）

然后 NtMapViewOfSection 的时候替换 DLL数据完成加载

这只是一个方法，有别的方法的可以执教一下

main-test.zip (412.44 KB, 下载次数: 866)

作者: mmlai8 时间: 2022-9-29 19:18
@ANormalUser 请指教一下

作者: a524666979 时间: 2022-9-29 19:57

这个好

作者: kagari 时间: 2022-9-29 20:00
楼主牛逼

作者: ANormalUser 时间: 2022-9-29 20:12
为什么不直接加载一个系统Dll，还要绕一大圈。
其次保存Dll信息双链直接在PEB中，想改名字随便改

作者: quary888 时间: 2022-9-29 20:16
谢谢楼主分享！！！好人一生平安！！！

作者: 杰西卡技术传媒 时间: 2022-9-29 20:26
持开源~！感谢分享

作者: 小雪12 时间: 2022-9-29 20:37
支持开源~！感谢分享

作者: jcd 时间: 2022-9-29 20:44
学习学习

作者: 一C 时间: 2022-9-29 21:02
支持x64吗

作者: 784326742 时间: 2022-9-29 21:29

支持x64吗

作者: 飞灵 时间: 2022-9-29 21:51
大佬牛逼

作者: 撒加 时间: 2022-9-29 22:08
支持开源~！感谢分享

作者: mmlai8 时间: 2022-9-29 22:14

ANormalUser 发表于 2022-9-29 20:12
为什么不直接加载一个系统Dll，还要绕一大圈。
其次保存Dll信息双链直接在PEB中，想改名字随便改 ...

我只想到这个办法

作者: mgfz 时间: 2022-9-29 23:17

支持一个。

作者: jysoft2022 时间: 2022-9-30 00:35
谢谢分享

作者: 396384183 时间: 2022-9-30 01:13
有别的方法的可以执教一下

作者: 80554326 时间: 2022-9-30 01:56
6666666666666666666

作者: zytlj 时间: 2022-9-30 02:03
牛B，谢谢分享。

作者: qq2518 时间: 2022-9-30 02:30
学习一下思路。感谢分享

作者: 不苦小和尚 时间: 2022-9-30 05:58
不错不错，这样方便多了，兼容性也好

作者: kmskik 时间: 2022-9-30 06:16
感谢分享谢谢

作者: ermituofo 时间: 2022-9-30 08:46
下载下来试试先。。。。

作者: wuqingg 时间: 2022-9-30 08:55
支持开源~！感谢分享

作者: huxian 时间: 2022-9-30 09:48
技嘉又几家？不明觉厉

作者: menghan 时间: 2022-9-30 09:49
感谢楼主分享，支持一下~~

作者: Frieza 时间: 2022-9-30 09:58
支持开源~！感谢分享

作者: yxl2008 时间: 2022-9-30 11:01
支持开源~！感谢分享

作者: fjgh 时间: 2022-9-30 11:10

作者: Orzlee 时间: 2022-9-30 11:23
下载学习，谢谢分享

作者: 星辰Stranger 时间: 2022-9-30 11:36

支持开源~！感谢分享

作者: 流浪的三毛 时间: 2022-9-30 12:29
很牛的样子。

作者: mengxinmeng 时间: 2022-9-30 13:19
支持开源~！感谢分享

作者: yujiekuxiao 时间: 2022-9-30 13:44
果然会玩谢谢分享果然会玩谢谢分享

作者: aadada 时间: 2022-9-30 15:19
这个可以有，但是这钟加载方式很适合注入DLL哈哈哈

作者: yxl2008 时间: 2022-9-30 15:30
感谢分享，下载学习！！

作者: 不苦小和尚 时间: 2022-9-30 18:28
不知道为什么，内存加载在服务器系统2008上奔溃

作者: callng 时间: 2022-9-30 21:27
思维很棒！

作者: fyh505099 时间: 2022-9-30 23:50
感谢分享赶快学习一下

作者: woaiplz123 时间: 2022-10-1 01:42
这个可以有，但是这钟加载方式很适合注入DLL哈哈哈

作者: 点点丶滴滴 时间: 2022-10-1 07:57
路过围观一下，顺便帮顶

作者: 美味萝卜 时间: 2022-10-1 08:32
支持开源~！感谢分享

作者: 布鲁惠斯 时间: 2022-10-1 09:53
支持开源~！感谢分享

作者: 734108950 时间: 2022-10-1 10:56
支持开源~！感谢分享

作者: tiancai88888888 时间: 2022-10-1 16:35
6666666666666666666666

作者: fmh111 时间: 2022-10-2 00:56
支持开源~！感谢分享

作者: clearlove 时间: 2022-10-2 09:57
升级加载内存Dll，兼容性极佳

作者: 梦梦莉 时间: 2022-10-3 01:01
谢谢分享！！！！

作者: subi 时间: 2022-10-3 10:29
学习谢谢分享

作者: 科技 时间: 2022-10-3 10:47
看看看

作者: jingyihui 时间: 2022-10-3 13:53
请教一下，加载后内存翻了5~6倍，这个是说明原理，怎么解呀。16M的内存加载有进程内存占用90M，按道理不是应该是资源里的DLL数据大小+映射的内存空间，也就是DLL大小*2的内存占用吗？

作者: 林克NOK 时间: 2022-10-3 15:28
谢谢分享

作者: 梦梦莉 时间: 2022-10-3 16:29
谢谢分享！！

作者: 吞吞吞 时间: 2022-10-3 19:50
6666666666666

作者: xiaoniu1230 时间: 2022-10-4 08:01
感谢分享，支持开源

作者: 382270611 时间: 2022-10-4 09:19
谁能告诉我这具体有什么用

作者: li609545570 时间: 2022-10-4 17:32
必须支持大神的开源 YYDS

作者: 梦梦莉 时间: 2022-10-4 17:57
谢谢分享！！

作者: 林克NOK 时间: 2022-10-4 18:59
DLL 谢谢分享

作者: 寂寞啊 时间: 2022-10-4 21:29
必须支持大神的开源 YYDS

作者: xtavoxing 时间: 2022-10-5 01:11
开源精神必须支持~

作者: 兰迪Randy 时间: 2022-10-5 01:56
感谢分享。。。。

作者: 110356776 时间: 2022-10-5 13:14
这个好用.

作者: aadada 时间: 2022-10-6 00:04
有没有BUG 好用不

作者: lhpa 时间: 2022-10-6 13:07
本帖最后由 lhpa 于 2022-10-6 13:43 编辑

win7 64位下异常，win10正常。win11正常。

找到原因了，win7没有这个wintypes.dll 文件

作者: andydau 时间: 2022-10-6 13:55
希望提供一版dll加载内存dll的源码

作者: dghjgg 时间: 2022-10-6 23:09
感谢分享

作者: dljy 时间: 2022-10-8 10:56
感谢分享，很给力！~

作者: 3641977 时间: 2022-10-8 20:49
感谢分享，很给力！~

作者: mmlai8 时间: 2022-10-9 08:42

lhpa 发表于 2022-10-6 13:07
win7 64位下异常，win10正常。win11正常。

找到原因了，win7没有这个wintypes.dll 文件 ...

wintypes.dll 可以换成别的系统DLL，比如 NTDLL.DLL

作者: ASSHOLE 时间: 2022-10-9 21:27
本帖最后由 ASSHOLE 于 2022-10-10 11:47 编辑

我这有个XP系统和其中一个WIN10系统不兼容
大神可私信我提供远程测试

515.png (7.5 KB, 下载次数: 0)

666.png (59.25 KB, 下载次数: 0)

作者: inat 时间: 2022-10-10 09:31

ASSHOLE 发表于 2022-10-9 21:27
我这有个XP系统和其中一个WIN10系统不兼容

找到原因了吗,我这也是一样的情况..

作者: qq78933319 时间: 2022-10-11 14:09
win7x64崩了

作者: 精易⌒小杜 时间: 2022-10-12 04:45

这个可以有。还没天亮就来支持楼主了

作者: mmlai8 时间: 2022-10-14 13:50

ASSHOLE 发表于 2022-10-9 21:27
我这有个XP系统和其中一个WIN10系统不兼容
大神可私信我提供远程测试

wintypes.dll 可以换成别的系统DLL，比如 NTDLL.DLL

作者: mmlai8 时间: 2022-10-14 13:51

qq78933319 发表于 2022-10-11 14:09
win7x64崩了

wintypes.dll 可以换成别的系统DLL，比如 NTDLL.DLL

作者: ASSHOLE 时间: 2022-10-14 14:03

mmlai8 发表于 2022-10-14 13:50
wintypes.dll 可以换成别的系统DLL，比如 NTDLL.DLL

不行的都试过了【全网首发】加载Dll时直接转向内存Dll，兼容性极佳我用这个也不行我
3个WIN10系统只有1个不行然后2个WIN7系统正常然后XP系统换别的系统DLL也不行

作者: astaaaaaa 时间: 2022-10-16 20:04
学习一下确实厉害

作者: astaaaaaa 时间: 2022-10-16 22:56

mmlai8 发表于 2022-10-14 13:51
wintypes.dll 可以换成别的系统DLL，比如 NTDLL.DLL

加载还是有问题, 系统文件是存在的测试的dll可以正常运行但是其他的dll就不行了.,还是需要本地放一个空壳

作者: uulive 时间: 2022-12-1 22:49
DLL数据完成加载

作者: XUANXIE 时间: 2022-12-9 18:11
伸手党！！！！！！！！对不我是伸手党

作者: yimian7wei 时间: 2022-12-21 21:04
为什么我源码运行正常,静态编译就不行了呢

作者: yimian7wei 时间: 2022-12-21 21:23

ANormalUser 发表于 2022-9-29 20:12
为什么不直接加载一个系统Dll，还要绕一大圈。
其次保存Dll信息双链直接在PEB中，想改名字随便改 ...

大佬,能不能出一个你这个的随便加名字的呀,以前的dll名字都改一遍的确是有点麻烦

作者: 胖虎O 时间: 2023-1-2 23:06
看一下，感谢分享

作者: clm6068 时间: 2023-1-3 01:58

qq78933319 发表于 2022-10-11 14:09
win7x64崩了

wintypes.dll 可以换成别的系统DLL，比如 NTDLL.DLL

作者: 易天下 时间: 2023-2-8 09:56
能出个中文调佣就更好了

作者: 洞子dark 时间: 2023-2-8 20:42
牛鼻plus~~~~~~~~~~

作者: nz夕颜 时间: 2023-2-10 20:53
小小心意，意思一下

作者: LiYJ 时间: 2023-2-12 20:33
感谢分享，很给力！~

作者: WanDongWu 时间: 2023-3-9 21:14
伸手党！！！！！！！！对不我是伸手党

作者: Canada 时间: 2023-3-18 19:50
regsvr32命令注册大漠的时候，是不是也能hook下让dm.dll文件不落地

作者: 深圳梦 时间: 2023-3-19 12:11
感谢分享，很给力！~

作者: 2424544044 时间: 2023-3-22 15:37
感谢分享，很给力！~

作者: 艾玛克138 时间: 2023-3-29 21:13
坚持学习,支持论坛

作者: 股老传奇 时间: 2023-4-15 00:08
666666666666666

作者: 股老传奇 时间: 2023-4-15 00:13
6666666666666666

作者: Canada 时间: 2023-4-15 15:12
那你为何不在他基础上，hook loadlibrary

作者: Canada 时间: 2023-4-15 15:51
怎么调试时候可以，编译出来不行

作者: chumoe 时间: 2023-6-11 03:18
用了其他加载内存DLL模块都闪退报错，用这个就好了，感谢楼主大大

欢迎光临精易论坛 (https://125.confly.eu.org/)