在Windows上執行此操作
儘管此問題集中在Linux上,我個人將使用其他答案中概述的簡單的 LD_PRELOAD 方法,但Windows知道類似的機制,實際上,它在最近的一段時間內已經被濫用(另請參見下面的替代方法)。我用那種方法“破解”了一個加密狗系統。事實證明,該方法是最近才發現的,方法是將DLL放在遠程共享上,然後導航到共享,例如媒體播放器,這將導致媒體播放器加載遠程DLL而不是本地版本。這是設計使然。現在更改它會破壞成百上千的應用程序。
這已經由Microsoft 以某些方式解決,儘管唯一真正的解決方案是在應用程序端正確實現。但是自從Windows 2000成為第一個基於NT平台的消費者操作系統以來,即使我們不得不處理NT安全,許多開發人員甚至都沒有掌握NT安全。
它與您的工作有什麼關係?
添加功能不一定意味著您在磁盤上修補了可執行文件。您還可以在內存中執行此操作。
如何利用它?
只要應用程序使用DLL,並且您可以使用 Dependency Walker告訴加載順序 h> a>或在調試器下,您可以選擇它導入的DLL之一併替換(在其當前位置),或在加載順序中將另一個DLL放置在現有DLL之前的路徑中。
另一種方法是更改導入的DLL的名稱。在極少數情況下(例如眾所周知的DLL),這是加載備用DLL的唯一可行方法,在某些特殊情況下仍可能失敗。
限制
如果所用的DLL位於DLL搜索順序的第一個位置,則必須從字面上替換磁盤上的文件,除非您如上所述重命名了導入。
實現
只有很少幾個導出符號的DLL可以使用手動方法。最簡單的方法是從DLL創建模塊定義文件,然後從該文件創建僅具有函數轉發器的DLL。這樣,您放置的DLL將已經加載,並且只需通過調用即可。
但是,這種方法對於導出的變量(相對於函數)將失敗。
這是一個簡單的方法我基於 pefile 編寫的Python腳本,它是在StackOverflow上的另一個答案:
import osimport sysimport redef main(pename):從pefile導入PE打印“ Parsing%s”%pename pe = PE(pename)modname = os.path.basename(pename)libname = re.sub(r“(?i)^。*?( [^ \\ /] +)\。(?: dll | exe | sys | ocx)$“,r” \ 1.lib“,modname)defname = libname.replace(”。lib“,” .def“)打印“為%s編寫模塊定義文件%s”%(defname,modname)f = open(defname,“ w”)#希望它拋出,這裡沒有復雜的錯誤處理f.write(“庫%s \ n \ n“%modname)f.write(” EXPORTS \ n“)numexp = 0,用於pe.DIRECTORY_ENTRY_EXPORT.symbols:if exp.name:numexp + = 1 f.write(” \ t%s \ n“%exp .name)打印“寫%帶有%d導出的s“%(defname,numexp)打印” \ n \ n使用此命令創建導出lib:\ n \ tlib / def:%s / out:%s“%(defname,libname)如果__name__ == '__main__':如果len(sys.argv)!= 2:sys.stderr.write(“ ERROR:\ n \ t語法:fakelib <dllfile> \ n”)sys.exit(1)sys.exit(main(sys.argv [1]))
您可以對其進行調整以創建功能轉發器,而不是使用導出名稱的簡單模塊定義。
因此您可以將代碼穿梭到目標應用程序中並從那裡運行的方法。
替代方法
已經提到了儀器和掛鉤。 Detours(彎路)是經常被提及的示例,該鉤子出於大多數實際目的而使用了不方便的EULA。請參閱有關這種方法的現有答案。
您還可以使用 AppInit_DLL 註冊表值儘早插入DLL。或者,您可以編寫一個帶有調試器循環的啟動器,並使用 Image File Execution Options 使目標首先啟動調試器。調試器還可以影響DLL的加載,也可以方便地在可執行文件和DLL之間的邊界處攔截(方便地)調用。當您在Process Explorer中選擇選項時,將替換Task Manager。
您將注意到如何將這些方法歸類為 Ed McMan在其答案中提到的。但是,我將其留給讀者練習:)