VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 351|回复: 8

[交流] 问2个问题

[复制链接]
78_avatar_middle
最佳答案
0 
在线会员 发表于 2021-10-29 15:45:49 | 显示全部楼层 |阅读模式
1、如何盗用别人的dll?不理解的是,别人的dll里面的函数名称、参数类型等,对于我们都是不知道,如果我们要盗用,怎么来获取函数名称和参数类型?难道要利用逆向追出来?
2、木马的文件生成是怎么实现的?比如远控木马,一般都会生成一个exe文件,是怎么实现的。




上一篇:逻辑运算符-与或非
下一篇:控件变量
78_avatar_middle
最佳答案
0 
ico_lz  楼主| 发表于 2021-11-2 17:10:00 | 显示全部楼层
本帖最后由 vcxuexi2 于 2021-11-2 17:17 编辑

看了黑防的文章明白了。。。把要写的文件当做资源引入,再用CreateFile直接写。如果这个文件需要修改,先把文件写入内存,再修改内存,再把内存数据写入文件。
  1.         DWORD size,size2;
  2.         HRSRC hrsrc1=FindResource(NULL, MAKEINTRESOURCE(IDR_BIN1), "BIN");
  3.         size=SizeofResource(NULL, hrsrc1);
  4.         HGLOBAL hglobal1=LoadResource(NULL, hrsrc1);
  5.         HANDLE hFile = CreateFile("upack.exe",GENERIC_WRITE,0, NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM,NULL);
  6.         WriteFile(hFile, (LPCVOID)LockResource(hglobal1),size+1,&size2,NULL);
  7.         CloseHandle(hFile);
  8.         GlobalFree(hglobal1);
复制代码

问2个问题
75_avatar_middle
最佳答案
22 
online_supermod 发表于 2021-10-29 18:36:07 | 显示全部楼层
微软有哪个dll查看器,能知道里面有什么函数,没有加密得情况下 你知道他的函数名称  导出能使用,加密除外,至于你说的木马怎么生成,现在现成得市面  gh0st  比较多 去看看吧
58_avatar_middle
最佳答案
55 
online_vip 发表于 2021-10-29 22:00:22 | 显示全部楼层
简单说说我的实现方式。

1、调用别人的函数,可以用函数指针,syc的课中有讲,百度找找资料很多。
2、先把想要生成程序的参数存到ini里,然后通过管道连接cl.exe link.exe...实现生成。

评分

参与人数 1驿站币 +1 热心值 +1 收起 理由
00_avatar_small oyxbl + 1 + 1 异地编译,,优秀

查看全部评分

58_avatar_middle
最佳答案
55 
online_vip 发表于 2021-10-29 22:37:44 | 显示全部楼层
是呀,Gh0st4.1、NB5.5、白金远控... MFC的开源远控多如牛毛。

劝楼主先静下心学几个月,否则我们帮你写出来,你也看不懂代码。
31_avatar_middle
最佳答案
53 
在线会员 发表于 2021-10-30 15:25:41 | 显示全部楼层
调用别人的dll,得看dll的导出方式,C风格导出方式的简单些,

1、开发人员命令行中 Dumpbin 查一下导出函数,  Dumpbin x.dll,
2、调试一下看看堆栈信息,目的是确认参数的数目, 和参数类型,
3、另一个是要注意函数的调用约定, 调用约定分stdcall\cdecl

确认以上几点就可以动态调用了,动态调用DLL的两种姿势: https://www.cctry.com/thread-300796-1-1.html,可以练练手。

C++风格的比较复杂些, 没有 .lib .h 文件, 想调用它是非常有难度的!
31_avatar_middle
最佳答案
53 
在线会员 发表于 2021-10-30 15:28:58 | 显示全部楼层
远控的话,可以练练手,可以熟悉Socket和通讯协议的编写,别的就别想了,远控用得好,牢饭吃得早!
78_avatar_middle
最佳答案
0 
ico_lz  楼主| 发表于 2021-11-1 17:37:35 | 显示全部楼层
thzzl 发表于 2021-10-29 22:37
是呀,Gh0st4.1、NB5.5、白金远控... MFC的开源远控多如牛毛。

劝楼主先静下心学几个月,否则我们帮你写 ...

NB的服务端生成代码看了,用createfile来生成的,这样的话,岂不是要把一个exe的全部数据来写入到一个文件了?总感觉这样不是常规的文件生成办法,就像以前老早qq木马生成器,它怎么来生成的这个木马,就想知道怎么实现的
78_avatar_middle
最佳答案
0 
ico_lz  楼主| 发表于 2021-11-18 11:09:49 | 显示全部楼层
找了段代码。。。。。
  1. HRSRC hResInfo;
  2. HGLOBAL hResData;
  3. DWORD dwSize, dwWritten;
  4. LPBYTE p;
  5. HANDLE hFile;
  6. TCHAR szTitle[100], szText[100];
  7. // 查找所需的资源
  8. hResInfo = FindResource( NULL, MAKEINTRESOURCE( IDR_SERVER ), "Server" );
  9. if( hResInfo == NULL )
  10. {
  11.     MessageBox( hDlg, "查找资源失败!", "错误", MB_OK | MB_ICONINFORMATION );
  12.     break
  13. ;
  14. }
  15. // 获得资源尺寸
  16. dwSize = SizeofResource( NULL, hResInfo );
  17. // 装载资源
  18. hResData = LoadResource( NULL, hResInfo );
  19. if( hResData == NULL )
  20. {
  21.     MessageBox( hDlg, "装载资源失败!", "错误", MB_OK | MB_ICONINFORMATION );
  22.     break
  23. ;
  24. }
  25. // 为数据分配空间
  26. p = (LPBYTE)GlobalAlloc( GPTR, dwSize );
  27. if( p == NULL )
  28. {
  29.     MessageBox( hDlg, "分配内存失败!", "错误", MB_OK | MB_ICONINFORMATION );
  30.     break
  31. ;
  32. }
  33. // 复制资源数据
  34. CopyMemory( (LPVOID)p, (LPCVOID)LockResource( hResData ), dwSize );
  35. // 获取标题和文本,并复制数据
  36. GetDlgItemText( hDlg, IDC_EDT_TITLE, szTitle, 100 );
  37. GetDlgItemText(hDlg, IDC_EDT_TEXT, szText, 100);
  38. CopyMemory( (LPVOID)( p + 0x800 ), (LPCVOID)szTitle, 100 );
  39. CopyMemory( (LPVOID)( p + 0x864 ), (LPCVOID)szText, 100 );
  40. // 创建文件,写数据
  41. hFile = CreateFile( "C:\\MsgBox.exe", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL );
  42. if( hFile != NULL )
  43.     WriteFile( hFile, (LPCVOID)p, dwSize, &dwWritten, NULL );
  44. else
  45. {
  46.     MessageBox( hDlg, "创建文件失败!", "错误", MB_OK | MB_ICONINFORMATION );
  47.     GlobalFree( (HGLOBAL)p );
  48.     break
  49. ;
  50. }
  51. // 收尾工作,释放资源
  52. CloseHandle( hFile );
  53. GlobalFree( (HGLOBAL)p );
复制代码
您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

×【发帖 友情提示】
1、请回复有意义的内容,请勿恶意灌水;
2、纯数字、字母、表情等无意义的内容系统将自动删除;
3、若正常回复后帖子被自动删除,为系统误删的情况,请重新回复其他正常内容或等待管理员审核通过后会自动发布;
4、感谢您对VC驿站一如既往的支持,谢谢合作!

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号-4 )|网站地图wx_jqr

GMT+8, 2021-11-30 01:34

Powered by CcTry.CoM

© 2009-2021 cctry.com

快速回复 返回顶部 返回列表