DLL劫持问题

王丞君

不知道有没有人遇到和我一样的想法，就是劫持的dll是黑月编译，那如果想做成带窗口的静态编译的DLL怎么下手就像下面这段代码

  

子程序名	返回值类型	公开	备 注
_启动子程序	整数型		请在本子程序中放置动态链接库初始化代码

变量名	类 型	静态	数组	备 注
hModule

GetModuleHandleExA (4, &e_Load, hModule)
DisableThreadLibraryCalls (hModule)
e_Load (hModule)
返回 (0)  ' 返回值被忽略。

子程序名	返回值类型	公开	备 注
e_Load	逻辑型		by 梦优勿扰的DLL劫持生成
参数名	类 型	参考	可空	数组	备 注
hModule	整数型

变量名	类 型	静态	数组	备 注
tzPath	文本型
fpAddress	整数型
lfAddress	整数型
pszProcName	文本型		0
FileName	文本型
i	整数型

' 调试文本 (“劫持进入：” ＋ 取执行文件名 ())
tzPath ＝ 取空白文本 (260)
GetSystemDirectory (tzPath, 260)
FileName ＝ “\pid.dll”
m_hModule ＝ LoadLibrary (tzPath ＋ FileName)
如果真 (m_hModule ＝ 0)
GetModuleFileNameExA (-1, hModule, tzPath, 260)
tzPath ＝ 取文本左边 (tzPath, 倒找文本 (tzPath, “\”, , 假))
m_hModule ＝ LoadLibrary (tzPath ＋ FileName)
如果真 (m_hModule ≠ 0)
pszProcName ＝ { "DllCanUnloadNow","DllGetClassObject" }
计次循环首 (取数组成员数 (pszProcName), i)
fpAddress ＝ GetProcAddress (m_hModule, pszProcName [i])
lfAddress ＝ GetProcAddress (hModule, pszProcName [i])
如果真 (fpAddress ≠ 0 且 lfAddress ≠ 0)
WriteProcessMemory (-1, lfAddress, { 233 } ＋ 到字节集 (到整数 (fpAddress － lfAddress － 5)), 5, 0)

计次循环尾 ()

返回 (m_hModule ≠ 0)

子程序名	返回值类型	公开	备 注
e_Free			仅支持黑月

' 调试文本 (“劫持退出：” ＋ 取执行文件名 ())
如果真 (m_hModule ≠ 0)
FreeLibrary (m_hModule)
' 函数数量:2

子程序名	返回值类型	公开	备 注
DllCanUnloadNow			@1

子程序名	返回值类型	公开	备 注
DllGetClassObject			@2

.版本 2<br /> <br /> .子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码<br /> .局部变量 hModule<br /> <br /> GetModuleHandleExA (4, &e_Load, hModule)<br /> DisableThreadLibraryCalls (hModule)<br /> e_Load (hModule)<br /> 返回 (0)  ' 返回值被忽略。<br /> <br /> .子程序 e_Load, 逻辑型, , by 梦优勿扰的DLL劫持生成<br /> .参数 hModule, 整数型<br /> .局部变量 tzPath, 文本型<br /> .局部变量 fpAddress, 整数型<br /> .局部变量 lfAddress, 整数型<br /> .局部变量 pszProcName, 文本型, , "0"<br /> .局部变量 FileName, 文本型<br /> .局部变量 i, 整数型<br /> <br /> ' 调试文本 (“劫持进入：” ＋ 取执行文件名 ())<br /> tzPath ＝ 取空白文本 (260)<br /> GetSystemDirectory (tzPath, 260)<br /> FileName ＝ “\pid.dll”<br /> m_hModule ＝ LoadLibrary (tzPath ＋ FileName)<br /> .如果真 (m_hModule ＝ 0)<br />     GetModuleFileNameExA (-1, hModule, tzPath, 260)<br />     tzPath ＝ 取文本左边 (tzPath, 倒找文本 (tzPath, “\”, , 假))<br />     m_hModule ＝ LoadLibrary (tzPath ＋ FileName)<br /> .如果真结束<br /> .如果真 (m_hModule ≠ 0)<br />     pszProcName ＝ { "DllCanUnloadNow","DllGetClassObject" }<br />     .计次循环首 (取数组成员数 (pszProcName), i)<br />         fpAddress ＝ GetProcAddress (m_hModule, pszProcName <i>)<br />         lfAddress ＝ GetProcAddress (hModule, pszProcName <i>)<br />         .如果真 (fpAddress ≠ 0 且 lfAddress ≠ 0)<br />             WriteProcessMemory (-1, lfAddress, { 233 } ＋ 到字节集 (到整数 (fpAddress － lfAddress － 5)), 5, 0)<br />         .如果真结束<br /> <br />     .计次循环尾 ()<br /> .如果真结束<br /> <br /> 返回 (m_hModule ≠ 0)<br /> <br /> .子程序 e_Free, , , 仅支持黑月<br /> <br /> ' 调试文本 (“劫持退出：” ＋ 取执行文件名 ())<br /> .如果真 (m_hModule ≠ 0)<br />     FreeLibrary (m_hModule)<br /> .如果真结束<br /> ' 函数数量:2<br /> <br /> .子程序 DllCanUnloadNow, , 公开, @1<br /> <br /> <br /> <br /> .子程序 DllGetClassObject, , 公开, @2

po1718

po1718 发表于 2024-8-23 21:54
要用线程载入窗口,在线程尾写死循环保持线程一直运行

  

窗口程序集名	保 留	保 留	备 注
程序集1

子程序名	返回值类型	公开	备 注
_启动子程序	整数型		请在本子程序中放置动态链接库初始化代码

启动线程 (&窗口线程, , )
' 这里延迟一下,等待创建创建完毕
判断循环首 (是否已创建 (窗口1) ＝ 假)
延迟 (10)
判断循环尾 ()
调试输出 (“窗口创建完毕”)
返回 (0)  ' 返回值被忽略。

子程序名	返回值类型	公开	备 注
窗口线程

变量名	类 型	静态	数组	备 注
ok	逻辑型

ok ＝ 载入 (窗口1, , 假)
判断循环首 (ok)
延迟 (1000)
调试输出 (1)
判断循环尾 ()

i支持库列表	支持库注释
EThread	多线程支持库
spec	特殊功能支持库

.版本 2<br /> .支持库 EThread<br /> .支持库 spec<br /> <br /> .程序集 程序集1<br /> <br /> .子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码<br /> <br /> <br /> 启动线程 (&窗口线程, , )<br /> ' 这里延迟一下,等待创建创建完毕<br /> .判断循环首 (是否已创建 (窗口1) ＝ 假)<br />     延迟 (10)<br /> .判断循环尾 ()<br /> 调试输出 (“窗口创建完毕”)<br /> 返回 (0)  ' 返回值被忽略。<br /> <br /> .子程序 窗口线程<br /> .局部变量 ok, 逻辑型<br /> <br /> ok ＝ 载入 (窗口1, , 假)<br /> .判断循环首 (ok)<br />     延迟 (1000)<br />     调试输出 (1)<br /> .判断循环尾 ()

清华大学优等生

子程序 载入窗口 写代码不就行了吗

菊部变暖

重新写一个带窗口的dll，在启动子程序里面用LoadLibrary注入你自己的dll，这个劫持的dll就单纯用于注入你自己的dll就行了，不需要在这写功能
LoadLibrary (你的dll路径)

王丞君

清华大学优等生 发表于 2024-8-23 16:18
子程序 载入窗口 写代码不就行了吗

要是这么简单，我也就不问了，直接载入也好，还是线程载入，都会卡死，不是DLL卡死，就是主程序窗口卡死

po1718

要用线程载入窗口,在线程尾写死循环保持线程一直运行

王丞君

po1718 发表于 2024-8-23 22:04
[e=0].版本 2
.支持库 EThread
.支持库 spec

这个写法我试了，游戏进程直接卡死，游戏窗口出不来

王丞君

po1718 发表于 2024-8-23 21:54
要用线程载入窗口,在线程尾写死循环保持线程一直运行

测试也不行，

王丞君

菊部变暖 发表于 2024-8-23 17:31
重新写一个带窗口的dll，在启动子程序里面用LoadLibrary注入你自己的dll，这个劫持的dll就单纯用于注入你自 ...

也测试，DLL窗口是有了，可是游戏窗口直接卡住了，

菊部变暖

王丞君 发表于 2024-8-24 09:28
也测试，DLL窗口是有了，可是游戏窗口直接卡住了，

不能在主线程载入窗口，单独启动一个线程用于载入窗口，要注意的是，这个线程不能让他结束，线程结束后窗口也会消失。

  

子程序名	返回值类型	公开	备 注
_启动子程序	整数型		请在本子程序中放置动态链接库初始化代码

启动线程 (&子程序1, , )
返回 (0)  ' 返回值被忽略。

子程序名	返回值类型	公开	备 注
子程序1

载入 (_启动窗口, , 假)
判断循环首 (真)
延时 (100000)
判断循环尾 ()

i支持库列表	支持库注释
EThread	多线程支持库

.版本 2<br /> .支持库 EThread<br /> <br /> .子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码<br /> <br /> 启动线程 (&子程序1, , )<br /> <br /> 返回 (0)  ' 返回值被忽略。<br /> <br /> .子程序 子程序1<br /> <br /> 载入 (_启动窗口, , 假)<br /> .判断循环首 (真)<br />     延时 (100000)<br /> .判断循环尾 ()