【全网首发】加载Dll时直接转向内存Dll，兼容性极佳

ANormalUser · 发表于 2022-9-1 21:35:35

前言：

本程序不是什么Hook了LoadLibrary、GetProcAddress等简单粗暴地将Dll命令地址强行转向内存。
本程序的Dll加载和重定向部分全部由系统完成，稳定性和兼容性极好（理论上和原生LoadLibrary完全相同）

解析：

众所周知，系统Dll加载的一个核心函数是NtMapViewOfSection，这个函数负责将Dll文件映射到内存。
如果我们Hook了NtMapViewOfSection函数，在加载正常Dll时使用我们自己写的方案，将内存中的Dll数据二次映射到内存，替换掉原来的Dll，那么就可以实现Dll的直接内存加载。
为此需要重写一个NtMapViewOfSection：
重写的MyMapDll原理大致如下：
- 首先是解析Dll的IMAGE_SECTION_HEADER，计算Dll需要的内存。
- 分配相应大小的内存。
- 将Dll的SECTION写到内存中。
Map好Dll后，只需要将新映射好的内存地址和大小反馈会NtMapViewOfSection参数即可。
效果如下：
可以看到，显示加载了“测试Dll.dll”，实际上加载了内存中的Dll（如果你还记得我的第一个帖子的话，你会知道这里确实不是加载的“测试Dll.dll”）

PS：

为什么要使用这么麻烦的方法实现内存Dll？
首先现在论坛中所谓的内存Dll均存在或多或少的兼容性问题，而本方案则是相当于将内存Dll用最接近系统原生的方案进行加载（完全不考虑IAT，TLS等修复问题），理论上兼容性和原生LoadLibrary完全相同。
本方案无需继续Hook诸如LoadLibrary、GetProcAddress等函数用于重定向，加载好的Dll就是原生内存Dll，API直接声明便可直接使用。

附件下载：

main-test.zip (402.24 KB, 下载次数: 1022)

雨过天晴 · 发表于 2023-2-18 06:33:35

本帖最后由雨过天晴于 2023-2-18 06:36 编辑

      if (  SectionHandle &&LoadDll.OldDllsize != 0)

            {
               ZwQuerySection  func = (  ZwQuerySection)GetProcAddress(baseinfo::ntdll, "ZwQuerySection");

               if (func)
               {
                     NTSTATUS status = 0;
                     SECTION_IMAGE_INFORMATION sii;
                     if (0 <= (status = func(SectionHandle, SectionImageInformation, &sii,
                              sizeof(sii), 0)))
                     {

                              if (sii.ImageFileSize== LoadDll.OldDllsize)
                              {

                                       *(PVOID*)BaseAddress = LoadDll.LoadDllMemory;
                                       *(DWORD*)ViewSize = LoadDll.LoadDllsize;

                                       RestoreHookBG(GetNtInfoAddr(NT_NtMapViewOfSection));
                                       return 0;
                              }


                     }

               }

17688167987 · 发表于前天 20:42

感谢分享，很给力！~

adpushpop · 发表于 2024-12-8 01:00:09

感谢分享，很给力！~

佛学e语言 · 发表于 2024-11-19 08:58:00

谢谢大佬分享

renzhanxin · 发表于 2024-11-9 14:05:55

支持开源~！感谢分享

木木的树 · 发表于 2024-10-22 23:09:30

66666666666666666666

yangdoudou · 发表于 2024-9-24 22:37:53

感谢分享，很给力！~

975408030 · 发表于 2024-9-22 00:46:29

顶我好学习一下

lukex951 · 发表于 2024-7-6 01:20:19

感谢分享~~~

编程辉煌 · 发表于 2024-6-10 11:30:57

学习一下技术

编程辉煌 · 发表于 2024-6-10 11:19:57

求一个C++版的

		自动登录	找回密码
密码			注册

[易源码分享] 【全网首发】加载Dll时直接转向内存Dll，兼容性极佳

前言：

解析：

PS：

附件下载：

评分

本帖被以下淘专辑推荐:

点评

评分