:311.593KB : :1 :2023-02-03 13:48:27
再此基础上增加了 伪装加载文件的功能,实现了,不需要真实DLL就可以加载的目的
在 LoadLibrary 的时候会先查询文件是否存在,我HOOK了 NtQueryAttributesFile 函数,让其返回文件存在的假象
然后 NtOpenFile 的时候将原文件名指向到 一个真实的系统DLL(这个可以随意设置,只要是存在的就可以)
然后 NtMapViewOfSection 的时候替换 DLL数据 完成加载
这只是一个方法,有别的方法的可以执教一下。
12-16易语言内存dll注入模块
12-14卡卡网络验证PHP和内存DLL代码
04-06eLoader内存DLL加载器
12-18易语言内存DLL注入模块源代码附PE工具
12-12调用载入释放内存DLL函数操作模块源码
12-10DLL优化模块高速/重定向至内存DLL