开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

注入时未调用DllMain()，但使用LoadLibrary()调用

注入时未调用DllMain()，但使用LoadLibrary()调用。

在Windows操作系统中，DllMain()是一个特殊的函数，用于在动态链接库（DLL）加载或卸载时执行一些初始化或清理操作。然而，有时候在进行DLL注入时，并不会直接调用DllMain()函数，而是使用LoadLibrary()函数来加载DLL。

LoadLibrary()函数是Windows API提供的一个函数，用于加载指定的DLL文件并返回一个句柄。它可以在运行时动态加载DLL，并将其链接到当前进程中。通过LoadLibrary()函数加载DLL，可以绕过DllMain()函数的调用，从而实现DLL注入。

注入时未调用DllMain()，但使用LoadLibrary()调用的情况下，可能会导致一些问题和限制。首先，由于没有调用DllMain()函数，DLL中的一些初始化操作可能无法执行，可能会影响DLL的正常功能。其次，由于没有调用DllMain()函数，DLL中的一些全局变量可能无法正确初始化，可能会导致未定义的行为或错误。

然而，有些情况下，注入时未调用DllMain()，但使用LoadLibrary()调用也是有一定优势和应用场景的。例如，某些情况下需要在运行时动态加载DLL，并且不需要执行DLL的初始化操作，或者已经通过其他方式进行了初始化。此时，可以使用LoadLibrary()函数来加载DLL，避免不必要的初始化开销。

对于这种情况，腾讯云提供了一些相关产品和服务，如云函数（Cloud Function）和容器服务（Container Service）。云函数是一种无服务器计算服务，可以在云端运行代码片段，可以通过LoadLibrary()函数加载DLL，并执行相应的功能。容器服务则提供了一种轻量级的容器化解决方案，可以在容器中运行应用程序，同样可以通过LoadLibrary()函数加载DLL。

总结起来，注入时未调用DllMain()，但使用LoadLibrary()调用是一种特殊的DLL加载方式，适用于某些特定的场景和需求。在使用时需要注意可能带来的问题和限制，并根据具体情况选择合适的解决方案和腾讯云产品。

相关搜索:从DllMain调用LoadLibrary 未调用类扩展-无法在地图上配置注记加入时未调用Discord.js guildMemberAdd事件未调用WearableDrawerLayout.DrawerStateCallback的onDrawerClosed (但调用了onDrawerOpened )Python使用"=“调用mock时未调用结果从UWP C#应用程序中使用pinvoke调用LoadLibrary 未使用setNeedsDisplay调用drawRect 未使用TransitionGroup调用componentWillEnter 未使用AlarmManager调用广播在屏幕之间导航，但构造函数未调用斯威夫特的Alamofire .post。“调用的结果未使用，但生成'DataRequest‘未使用操作栏时未调用onSupportNavigateUp 未使用mouseMoved()调用PaintComponent()方法未使用/NODEFAULTLIB调用构造函数未使用cameraOverlyView调用UIImagePickerController didFinishPickingMediaWithInfo 如何在C++中使用LoadLibrary(..)调用kernel32.dll函数GetTickCount()SCNNode SCNAction.move(to:)未运行但被调用- Swift 插入时未调用核心数据的自定义验证方法使用TabbarViewController时未调用的preferredStatusBarStyle 使用navgraph时未调用android onpause

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

sRDI – Shellcode 反射 DLL 注入

在 2017 年美国黑帽大会上首次提供“暗面行动 II – 对抗模拟”时，我们悄悄地放弃了一个名为 sRDI 的内部工具包。不久之后，整个项目被放到了 GitHub ( https://github.com/monoxgas/sRDI ) 上，没有太多解释。我想写一篇简短的文章来讨论这个新功能背后的细节和用例。

00

进程注入1：通过LoadLibrary注入DLL

进程注入是将任意代码写入已经运行的进程中并执行，可以用来逃避检测对目标目标进程中的敏感信息进行读/写/执行访问，还可以更改该进程的行为。

03

DllMain中不当操作导致死锁问题的分析--进程对DllMain函数的调用规律的研究和分析

不知道大家是否思考过一个过程：系统试图运行我们写的程序，它是怎么知道程序起始位置的？很多同学想到，我们在编写程序时有个函数，类似Main这样的名字。是的！这就是系统给我们提供的控制程序最开始的地方（注意这儿是提供给我们的，而实际有比这个还要靠前的main）。于是看到DllMain就可以想到它是干嘛的了：Dll的入口点函数。那何时调用这个函数的呢？以及各种调用场景都传给了它什么参数呢？（转载请指明出于breaksoftware的csdn博客）

02

DllMain中不当操作导致死锁问题的分析——DllMain中要谨慎写代码（完结篇）

之前几篇文章主要介绍和分析了为什么会在DllMain做出一些不当操作导致死锁的原因。本文将总结以前文章的结论，并介绍些DllMain中还有哪些操作会导致死锁等问题。（转载请指明出于breaksoftware的csdn博客） DllMain的相关特性

02

Cobaltstrike4.0——记一次上头的powershell上线分析

1、CS powershell上线过程分析 2、powershell shellcodeloader分析 3、shellcode内容 4、dll注入相关内容 5、ReflectDllInjection技术分析

01

Windows注入与拦截（1） — DLL注入的基本原理「建议收藏」

从前面的《Windows内存体系》系列文章中我们可以知道，在Windows系统中，每个进程都有自己私有的地址空间。当我们用指针来引用内存的时候，指针的值表示的是进程自己的地址空间的一个虚拟的内存地址。进程不能通过指针来引用其他进程地址空间的内存。因此，如果一个进程有缺陷会导致其引用和覆盖随机地址处的内存，那么这个缺陷的影响就会不会扩散到其他的进程。

02

使用 Cobalt Strike 的 Beacon 对象文件自定义 DLL 注入

信标对象文件 (BOF) 是一个已编译的 C 程序，按照约定编写，允许在信标进程中执行并使用内部信标 API。

02

白加黑免杀制作（详细）

最近被微步的一篇文章吸引了，里面讲到银狐通过自解压白 exe + 黑 dll 执行截取主线程添加自启动，发现 dll 与普通的免杀有很大的不同，决定自己尝试一下，虽然我之前没有做过白加黑免杀，感觉应该不会太难，但是当我真正尝试的时候才发现很多问题，如：

07

DLL注入explorer.exe进程[通俗易懂]

最近一直在学习dll注入远程进程的相关知识，于是有了这篇文章。通过注入的方式会运行程序，在资源管理器中是看不到，相关的进程的，这为程序的隐藏提供了极大的便利。

00

C/C++ 实现远程线程DLL注入

远程线程注入是最常用的一种注入技术，该技术利用的核心API是 `CreateRemoteThread()` 这个API可以运行远程线程，其次通过创建的线程调用 `LoadLibraryA()` 这个函数动态载入指定的DLL即可实现运行DLL，而`LoadLibrary()`函数在任何一个可执行文件中都可以被调用到，这就给我们注入提供了有效的条件.

02

C/C++ 远程线程DLL注入

64位进程,就得用64位的EXE来CreateRemoteThread, 另外DLL也应该是64位

02

3.4 DLL注入：全局消息钩子注入

SetWindowHookEx 是Windows系统的一个函数，可用于让一个应用程序安装全局钩子，但读者需要格外注意该方法安装的钩子会由操作系统注入到所有可执行进程内，虽然该注入方式可以用于绕过游戏保护实现注入，但由于其属于全局注入所以所有的进程都会受到影响，而如果想要解决这个问题，则需要在DllMain()也就是动态链接库开头位置进行判断，如果是我们所需操作的进程则执行该DLL模块内的功能，如果不是则自动跳过不执行任何操作即可实现指定进程的注入方式。

03

3.4 DLL注入：全局消息钩子注入

SetWindowHookEx 是Windows系统的一个函数，可用于让一个应用程序安装全局钩子，但读者需要格外注意该方法安装的钩子会由操作系统注入到所有可执行进程内，虽然该注入方式可以用于绕过游戏保护实现注入，但由于其属于全局注入所以所有的进程都会受到影响，而如果想要解决这个问题，则需要在DllMain()也就是动态链接库开头位置进行判断，如果是我们所需操作的进程则执行该DLL模块内的功能，如果不是则自动跳过不执行任何操作即可实现指定进程的注入方式。

02

远程线程进行DLL注入

首先简单说一下实现功能：当目标应用程序运行中的状态时，将DLL注入到该目标应用程序内存并执行DLL中的代码。

01

白加黑保姆教程通杀主流杀软

简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的，那么就需要对exe加载的dll进行了解。

01

LoadLibrary失败的原因「建议收藏」

LoadLibrary The LoadLibrary function maps the specified executable module into the address space of the calling process.

01

Windows下的代码注入

木马和病毒的好坏很大程度上取决于它的隐蔽性，木马和病毒本质上也是在执行程序代码，如果采用独立进程的方式需要考虑隐藏进程否则很容易被发现，在编写这类程序的时候可以考虑将代码注入到其他进程中，借用其他进程的环境和资源来执行代码。远程注入技术不仅被木马和病毒广泛使用，防病毒软件和软件调试中也有很大的用途，最近也简单的研究过这些东西，在这里将它发布出来。想要将代码注入到其他进程并能成功执行需要解决两个问题：

02

实战 | DLL劫持思路和研究

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件。

02

最新dll劫持详解

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件。

03

DLL劫持详解

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件。

02

C/C++ 实现常用的线程注入

各种API远程线程注入的方法，分别是远程线程注入，普通消息钩子注入，全局消息钩子注入，APC应用层异步注入，ZwCreateThreadEx强力注入，纯汇编实现的线程注入等。

01

免杀|白加黑的初步探究

为什么我们需要白加黑这种攻击方法呢？答：降本增效，我们知道在以后AI+安全崛起的大背景下，社工将会成为攻防演练项目中，成本最低，效率最高的一种攻击方式，而这个时候"白加黑"的成本优势就体现的淋漓尽致了。

01

windows-DLL注入「建议收藏」

DLL注入刚刚整理的代码注入(远程线程注入)现在整理这个DLL注入，DLL注入比较常用，相比远程代码注入DLL注入没有什么太多的限制，而且实现起来比较简单，当然远程线程需要注意的问题DLL很多情况都需要注意，这里不做重复，只说代码注入里面没有说过的部分。DLL注入的方式不唯一，比如你如果完全看懂了代码注入，那么你直接LoadLibrary地址和一个dll路径传进去然后在里面load一下就行了，也就是之前的代码注入完全可以实现dll注入，今天就说下一通常dll的注入方式吧，通常dll的注入比我刚刚说的那个方法还要简单，流程和代码注入差不多但是简单了很多，思路是这样，LoadLibrary这个函数所有的进程都是地址一样，我们直接获取LoadLibrary的地址，然后在CreateRemoteThread里面直接把这个地址作为线程地址传过去，然后参数就是我们已经拷贝到对方内存里的那个字符串，这样直接就跑起来了，非常简单，在DLL里想干什么就干什么，可以和本地写代码一样，然后还有一个问题，就是注意一下，dll在入口的switch里面的第一个分支直接调用你想干的事就行了，那个分支的意思就是说当dll被第一次载入的时候就自动执行了，OK就这么简单，如果你觉得没听懂，那么需要看我之前说的那个代码注入，这个里面只说了新的东西，还有就是dll注入应该注意的几个地方： 1.dll的入口记得就调用自己的函数，别走正当的流程，如果你非蛋疼的想调用某个指定函数，当然可以用代码注入结合dll注入的方式，但是然并卵。 2.注意系统问题，32exe+32dll注入32位程序，64exe+64dll注入64位程序。

02

python dll注入监听_DLL注入和API拦截

在Windows中，每个进程相互独立，都有自己的私有的地址空间，程序中使用的指针都是进程自己地址空间的一个内存地址，无法创建也没法使用其他进程的指针。这种机制使得各个进程之间不会相互影响，万一自己出现了问题，也不会影响到其他的进程。对用户来说，系统更加的稳定了，但是对于开发人员来说，会使我们很难编写能够与其他进程通信的应用程序或对其他进程进行操控的引用程序。

01

反射Dll注入

上一篇我们介绍了CreateRemoteThread+LoadLibrary进行注入的技巧。但是这种方法实在是太过格式化，所以几乎所有的安全软件都会监控这种方法。所以HarmanySecurity的Stephen Fewer提出了ReflectiveDLL Injection，也就是反射DLL注入。

02

利用白加黑静态逃逸杀软

本文记录的我学习实现白+黑免杀的过程，以及遇到了shellcode编写32位无法注入64的问题，最后组合了各种静态规避手段，成功静态层面逃逸大部分的杀软。成品和源码可以在最下方的先知的附件中可以拿到，仅供学习参考。

01

聊一聊 WPF 程序的键盘是如何被窃听的？

不管杀毒软件流氓不流氓，在如今病毒肆虐的当下互联网，装一个还是能帮我们拦截很多意想不到的东西，为了眼见为实，这一篇我们就聊一个窃听键盘事件的恶意代码。

02

【操作系统】动态链接库

DLL就是整个windows操作系统的基础。动态链接库不能直接运行，也不能接收消息。他们就是一些独立的文件。

02

病毒分析第二讲,分析病毒的主要功能

05

DllMain中不当操作导致死锁问题的分析——线程中调用GetModuleFileName、GetModuleHandle等导致死锁

之前的几篇文章已经讲解了在DllMain中创建并等待线程导致的死锁的原因。是否还记得，我们分析了半天汇编才知道在线程中的死锁位置。如果对于缺乏调试经验的同学来说，可能发现这个位置有点麻烦。那么本文就介绍几个例子，它们会在线程明显的位置死锁掉。（转载请指明出于breaksoftware的csdn博客）

03

干货 | DLL劫持

DLL（Dynamic Link Library），全称动态链接库，是Windows系统上程序正常运⾏必不可少的功能模块，是实现代码重⽤的具体形式。简单的说，可以把DLL理解成帮助程序完成各种功能的组件。DLL劫持漏洞（DLL Hijacking Exploit），严格点说，它是通过⼀些⼿段来劫持或者替换正常的DLL，欺骗正常程序加载预先准备好的恶意DLL的⼀类漏洞的统称。利⽤DLL劫持漏洞，病毒⽊⻢可以随着⽂档的打开（或者其他⼀些程序正常⾏为）⽽激活⾃身，进⽽获得系统的控制权。

02

DLL劫持之IAT类型

DONT_RESOLVE_DLL_REFERENCES : 这个标志用于告诉系统将DLL映射到调用进程的地址空间中，但是不调用DllMain并且不加载依赖Dll（只映射自己本身）。

01

c++DLL编程详解

DLL(Dynamic Link Library)的概念，你可以简单的把DLL看成一种仓库，它提供给你一些可以直接拿来用的变量、函数或类。在仓库的发展史上经历了“无库－静态链接库－动态链接库”的时代。静态链接库与动态链接库都是共享代码的方式，如果采用静态链接库，则无论你愿不愿意，lib中的指令都被直接包含在最终生成的EXE文件中了。但是若使用DLL，该DLL不必被包含在最终EXE文件中，EXE文件执行时可以“动态”地引用和卸载这个与EXE独立的DLL文件。静态链接库和动态链接库的另外一个区别在于静态链接库

06

红队提权 - 可写系统路径权限提升

这些问题的根本原因来自常见的系统配置错误，这使得识别和利用这些问题非常可靠。相比之下，传统的基于内存损坏的本地权限提升漏洞通常需要固定偏移量，具体取决于目标使用的操作系统版本或系统构建。

04

绝大部分测试和开发人员都不知道的DLL

1. Kernel32.dll 它包含那些用于管理内存、进程和线程的函数，例如CreateThread函数；

02

自由控制程序运行方式的编程技巧

本篇继续阅读学习《有趣的二进制：软件安全与逆向分析》，本章是自由控制程序运行方式的编程技巧，主要介绍调试器的原理、代码注入和API钩子

01

LoadLibrary加载动态库失败

1.1 文件路径的确错误。比如：本来欲加载的是A文件夹下的动态库a.dll，但是经过仔细排查原因，发现a.dll动态库竟然被拷贝到B文件夹下去了。

01

CVE-2020-1362 漏洞分析

WalletService 服务是 windows 上用来持有钱包客户端所使用的对象的一个服务，只存在 windows 10 中。

02

常见注入手法第二讲,APC注入

08

Understanding-and-bypassing-AMSI

反恶意软件扫描接口简称"AMSI"，它是微软在Windows中阻止危险脚本执行的解决方案，AMSI理论上是一个好的解决方案，它通过分析正在执行的脚本然后根据是否发现恶意内容来阻止或允许，然而正如我们稍后将讨论的那样，它有一些基本的实现缺陷，使得我们可以绕过检测

01

滥用具备RWX-S权限且有签名的dll进行无感知的shellcode注入

常规的shellcode注入一般是通过VirtualAllocEx,WriteProcessMemory 和 CreateRemoteThread 来实现的，但是这种方式是被安全软件重点监控的，同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入，并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。本方法是由文章提出的：https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/ ，详情可以参考此文章。

02

python 调用dll

首先用visual studio写个dll。 // TestDll.cpp : Defines the entry point for the DLL application. //

02

Windows中Loader Lock引起的死锁问题

在程序构建中，往往让程序模块化。常见的就是实现为动态链接库。然后在主程序启动的时候隐式或者显示的去加载动态链接库。在Windows中，如果不恰当的编写动态链接库的DllMain函数，将会引起意想不到的Bug哦，比如典型的Loader Lock死锁问题，相信做过Windows开发的人不少碰到过这样的坑。

01

C++基础语法梳理：Windows 的动态链接库

GUI（Graphical User Interface）应用，链接器选项：/SUBSYSTEM:WINDOWS

00

从原理解析如何防御DLL劫持

在Windows系统中，为了节省内存和实现代码重用，微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL（Dynamic Link Library），即动态链接库，这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数（DLLMain），系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数：

01

InlineHook实践

InlineHook是一种指令级的函数hook方式，通过直接修改运行时内存的方式替换指令，完全手工的完成hook及跳回操作，理论上可以实现任意位置的hook。平时使用Frida进行Native hook实际上也是用的InlineHook的原理。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭