开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

DLL可以调用/加载另一个DLL吗？

是的，DLL（Dynamic Link Library）可以调用/加载另一个DLL。DLL是一种可执行文件格式，它包含了可被多个应用程序共享的代码和数据。通过调用/加载另一个DLL，可以实现代码的复用和模块化开发。

在Windows操作系统中，DLL文件可以通过调用LoadLibrary函数来加载另一个DLL。LoadLibrary函数会在内存中加载指定的DLL，并返回一个句柄，该句柄可以用于后续的函数调用。加载的DLL可以包含导出函数，其他应用程序可以通过GetProcAddress函数获取这些导出函数的地址，并进行调用。

DLL的调用/加载可以带来以下优势：

代码复用：多个应用程序可以共享同一个DLL中的代码，避免重复开发和维护。
模块化开发：将功能划分为不同的DLL模块，便于团队协作和项目管理。
动态更新：通过替换DLL文件，可以实现对应用程序的功能升级和修复，而无需重新编译整个应用程序。

DLL的应用场景包括但不限于：

插件系统：通过加载DLL，实现应用程序的插件扩展功能。
动态链接库：将一些通用的功能封装为DLL，供多个应用程序调用。
第三方库：许多第三方库以DLL形式提供，供开发人员在自己的应用程序中调用。

腾讯云提供了云计算相关的产品和服务，其中与DLL调用/加载相关的产品包括云函数（Cloud Function）和容器服务（TKE）。云函数是一种无服务器计算服务，可以将DLL部署为云函数，实现按需调用。容器服务提供了容器化应用的管理和运行环境，可以将应用程序及其依赖的DLL打包为一个容器镜像，实现快速部署和扩展。

更多关于腾讯云产品的详细信息，请参考腾讯云官方网站：https://cloud.tencent.com/

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

sRDI – Shellcode 反射 DLL 注入

在 2017 年美国黑帽大会上首次提供“暗面行动 II – 对抗模拟”时，我们悄悄地放弃了一个名为 sRDI 的内部工具包。不久之后，整个项目被放到了 GitHub ( https://github.com/monoxgas/sRDI ) 上，没有太多解释。我想写一篇简短的文章来讨论这个新功能背后的细节和用例。

00

DLL依赖查看神奇CFF Explorer

CFF Explorer是一款优秀的PE资源工具，使用CFF Explorer可以方便地查看和编辑PE（EXE/DLL）资源，类似PE资源工具有eXeScope、ResHacker等。

04

白加黑免杀制作（详细）

最近被微步的一篇文章吸引了，里面讲到银狐通过自解压白 exe + 黑 dll 执行截取主线程添加自启动，发现 dll 与普通的免杀有很大的不同，决定自己尝试一下，虽然我之前没有做过白加黑免杀，感觉应该不会太难，但是当我真正尝试的时候才发现很多问题，如：

07

多种DLL注入技术原理介绍

DLL注入技术可以被正常软件用来添加/扩展其他程序，调试或逆向工程的功能性；该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说，了解DLL注入的工作原理是十分必要的。

03

红队提权 - 可写系统路径权限提升

这些问题的根本原因来自常见的系统配置错误，这使得识别和利用这些问题非常可靠。相比之下，传统的基于内存损坏的本地权限提升漏洞通常需要固定偏移量，具体取决于目标使用的操作系统版本或系统构建。

04

python dll注入监听_DLL注入和API拦截

在Windows中，每个进程相互独立，都有自己的私有的地址空间，程序中使用的指针都是进程自己地址空间的一个内存地址，无法创建也没法使用其他进程的指针。这种机制使得各个进程之间不会相互影响，万一自己出现了问题，也不会影响到其他的进程。对用户来说，系统更加的稳定了，但是对于开发人员来说，会使我们很难编写能够与其他进程通信的应用程序或对其他进程进行操控的引用程序。

01

DLL 注入

根据MSDN，DLL 是一个库，其中包含可以由多个程序同时使用的代码和数据。 DLL 通常用于将程序模块化为单独的组件，如果模块存在，则每个模块都由主程序加载。这些模块通常扩展主程序的功能。

00

Windows注入与拦截（1） — DLL注入的基本原理「建议收藏」

从前面的《Windows内存体系》系列文章中我们可以知道，在Windows系统中，每个进程都有自己私有的地址空间。当我们用指针来引用内存的时候，指针的值表示的是进程自己的地址空间的一个虚拟的内存地址。进程不能通过指针来引用其他进程地址空间的内存。因此，如果一个进程有缺陷会导致其引用和覆盖随机地址处的内存，那么这个缺陷的影响就会不会扩散到其他的进程。

02

DLL攻击漫谈

动态链接库（DLL）的方式以及Windows API指示使用它们的方式都可以用作任意代码执行的接口，并协助恶意行为者实现其目标。

01

白加黑保姆教程通杀主流杀软

简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的，那么就需要对exe加载的dll进行了解。

01

C语言dll文件的说明以及生成、使用方法

06

利用COVID-19发起的网络攻击分析

Check Point发现了针对蒙古公共部门的网络攻击活动，该组织利用了冠状病毒恐慌情绪向目标发送恶意软件。研究发现其与可与在2016年进行的其他网络活动联系起来。多年来，这些行动的目标是多个国家/地区的不同部门，例如乌克兰，俄罗斯，和白俄罗斯。

03

什么是dll_dll文件怎么打开编辑

DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件，一个DLL文件也可能被不同的应用程序使用，这样的DLL文件被称为共享DLL文件。

01

红队免杀必会-进程注入--注册表-全局钩

进程注入，简而言之就是将代码注入到另一个进程中，跨进程内存注入，即攻击者将其代码隐藏在合法进程中，长期以来一直被用作逃避检测的手段.

02

edr对抗技术1-api unhook output

这里借用别人的一张图，大概是这样：因为刚开始是有一个ntdll被载入内存，然后杀软对其hook，自然也就是修改了代码段。然后这个时候，我们用新的ntdll的代码段覆盖被hook的代码段，实现ntdll重载。

01

进程注入1：通过LoadLibrary注入DLL

进程注入是将任意代码写入已经运行的进程中并执行，可以用来逃避检测对目标目标进程中的敏感信息进行读/写/执行访问，还可以更改该进程的行为。

03

枚举进程中的模块

在Windows中枚举进程中的模块主要是其中加载的dll，在VC上主要有2种方式，一种是解析PE文件中导入表，从导入表中获取它将要静态加载的dll，一种是利用查询进程地址空间中的模块，根据模块的句柄来得到对应的dll，最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段：

02

滥用具备RWX-S权限且有签名的dll进行无感知的shellcode注入

常规的shellcode注入一般是通过VirtualAllocEx,WriteProcessMemory 和 CreateRemoteThread 来实现的，但是这种方式是被安全软件重点监控的，同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入，并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。本方法是由文章提出的：https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/ ，详情可以参考此文章。

02

恶意后门利用多种免杀手段，可远控用户电脑

该黑客团伙投递的文件名大部分与用户常用软件有关，火绒安全实验室目前收集到其伪装的部分文件名如下图所示：

03

python dll注入网络_dll注入

动态链接库(Dynamic Link Library 或者 Dynamic-link Library，缩写为 DLL)

03

com组件与dll的区别_组件对象模型

com英文为Component Object Model（组件对象模型），是微软生产软件组件的标准。

04

Windows下的代码注入

木马和病毒的好坏很大程度上取决于它的隐蔽性，木马和病毒本质上也是在执行程序代码，如果采用独立进程的方式需要考虑隐藏进程否则很容易被发现，在编写这类程序的时候可以考虑将代码注入到其他进程中，借用其他进程的环境和资源来执行代码。远程注入技术不仅被木马和病毒广泛使用，防病毒软件和软件调试中也有很大的用途，最近也简单的研究过这些东西，在这里将它发布出来。想要将代码注入到其他进程并能成功执行需要解决两个问题：

02

c#封装动态库_nginx调用so动态库

一直对动态库的封装理解不是很透彻，虽然之前写过一个Demo，不过并没有真正的理解。所以写下来，帮助自己理解下。

02

反射机制、依赖注入、控制反转

反向: dll->类[方法,属性]. 从已经有的dll文件反编译得到其中的一些可用的方法.

02

如何绕过Windows 10的CFG机制

前言本文来源于我在2016年7月的研究结论，由于各种原因现在才能发布。2016年6月，Theori曾发表了一篇关于MS16-063中修补了的IE漏洞分析，文中发布的exploit则仅是针对Windows7上的IE 11版本，此外由于Windows 10采用了CFG机制所以无法对Windows 10机器进行利用。而本文就描述了我是如何在Windows 10下绕过CFG并进行利用的。事实上我还发现了另一种方法，会在接下来的一篇文章中提到。了解CFG 控制流保护（Control Flow Guard，CFG

06

总结到目前为止发现的所有EDR绕过方法

所有关注攻击性安全社区的人都会在过去两年中一次又一次地遇到Userland hooking, Syscalls, P/Invoke/D-Invoke等术语。我自己也遇到了一些我不完全理解的博客文章和工具。我有时觉得我需要从头开始积累知识。由于我在很多情况下不需要这些“新”技术，我把这些课题的研究推迟了几个月。

03

无需感染加载 Emotet 模块的分析工具：EmoLoad

研究人员为深入分析 Emotet 核心组件和其他模块，专门开发了名为 EmoLoad 的工具，使用该工具可以单独加载执行 Emotet 的模块。

03

dotnet core 应用是如何跑起来的通过自己写一个 dotnet host 理解运行过程

在上一篇博客是使用官方提供的 AppHost 跑起来整个 dotnet 程序。本文告诉大家在 dotnet 程序运行到托管代码之前，所需要的 Native 部分的逻辑。包括如何寻找 dotnet 运行时，如何加载运行时和框架然后跑起来业务端的 dll 文件的逻辑

01

3.2 DLL注入：远程APC异步注入

APC（Asynchronous Procedure Call）异步过程调用是一种Windows操作系统的核心机制，它允许在进程上下文中执行用户定义的函数，而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作，例如改变线程优先级或通知线程处理任务。在APC机制中，当某些事件发生时（例如文件IO，网络IO或定时器触发），这些事件将被操作系统添加到一个APC队列中，该队列绑定到执行线程。在下一次发生ALERTABLE的事件时（例如调用SleepEx或SignalObjectAndWait时），OS将弹出APC函数并在执行线程上下文中调用该函数，并在执行完毕后恢复线程执行。

02

WSP ( CVE-2022-24934 ) APT

我们最近发现了一个APT我们正在调用的活动Operation Dragon Castling。该活动的目标是似乎在投注的公司South East Asia，更具体地说是位于Taiwan、Philippines和的公司Hong Kong。有了适度的信心，我们可以将活动归因于一个Chinese speaking APT group，但不幸的是不能将攻击归因于特定的群体，并且不确定攻击者的目标是什么。

3.2 DLL注入：远程APC异步注入

APC（Asynchronous Procedure Call）异步过程调用是一种Windows操作系统的核心机制，它允许在进程上下文中执行用户定义的函数，而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作，例如改变线程优先级或通知线程处理任务。在APC机制中，当某些事件发生时（例如文件IO，网络IO或定时器触发），这些事件将被操作系统添加到一个APC队列中，该队列绑定到执行线程。在下一次发生ALERTABLE的事件时（例如调用SleepEx或SignalObjectAndWait时），OS将弹出APC函数并在执行线程上下文中调用该函数，并在执行完毕后恢复线程执行。

04

反射学习由浅入深

第一，引入：dll的引入方法通过当前控制台应用程序的引用的添加(解决方案下的引用) 再到命名空间的引用（使用类中的引用）

03

【逆向专题】【危！！！刑】（一）使用c#+Win32Api实现进程注入到wechat

自从上篇使用Flaui实现微信自动化之后，这段时间便一直在瞎研究微信这方面，目前破解了Window微信的本地的Sqlite数据库，使用Openssl，以及Win32Api来获取解密密钥，今天作为第一张，先简单写一下，获取微信的一些静态数据，以及将自己写的c语言dll通过Api注入到微信进程里面去，最后调用我们的dll的方法。话不多说，让我们开始吧。

02

新版本 Redline 使用 Lua 字节码逃避检测

根据遥测数据，Redline Stealer 木马已经日渐流行，覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。

01

如何在Excel里加载第三方插件，让你的Excel功能更加强大！！！

今天是小魔方的第三篇推送教程，要谈的话题是如何在Excel里加载第三方插件工具！记得第一期的时候讲的如何调用开发工具，其实微软公司在开发office办公套件的时候，为了给广大具有二次开放能力的office爱好者展示自己才华的机会，专门以VB语言为基础研发了专门服务于office办公软件平台的VBA语言（全程Visual Bisic Application ）环境，这个编译器并没有桌面入口，是嵌入在office各个软件内部（在开发工具选项里面，由于office初始安装时开发工具默认是未选中状态，所以不主动调

05

内核漏洞利用：通过WARBIRD在Windows 10上提升权限

在这篇文章中，我想谈一谈通过基于Windows内核的exploit来提升权限。之所以没有使用像HackSys Extreme Vulnerable Windows Driver这样的东西，是因为想做点不同的事情。恰逢Google Project Zero近期公布了漏洞，由于mjurczyk把漏洞进行了记录，所以感觉便于理解。该漏洞还被Microsoft标记为“Wont-Fix”，意思就是32位的Windows 10 Creator版本仍然存在漏洞。漏洞概览根据披露出的消息，我们可以了解到这个漏洞影响了3

08

PoS端恶意软件LockPoS再次苏醒携来新型代码注入技术

“用指尖改变世界” 📷 以色列网络安全公司Cyberbit的研究人员表示，通过僵尸网络Flokibot分发的PoS端恶意软件LockPoS已经从一段时间的沉睡中苏醒，并携带新型代码注入技术重新回到人们的视线中。 LockPoS最初在去年7月份，由Arbor Networks Security 的安全研究员发现并进行了详尽的分析。在之前的分析中，LockPoS通过利用直接注入到explorer.exe 进程中的滴管组件进行传播。值得注意的是，LockPoS必须通过手动加载来执行。在执行后，它会从自身提取相关

05

编写dll时，为什么有 extern “C”

编写dll时，有个重要的问题需要解决，那就是函数重命名——Name-Mangling。解决方式有两种，一种是直接在代码里解决采用extent”c”、_declspec(dllexport)、#pragma comment(linker, "/export:[Exports Name]=[Mangling Name]")，另一种是采用def文件。

01

exe调用DLL的方式

编写dll时，有个重要的问题需要解决，那就是函数重命名——Name-Mangling。解决方式有两种，一种是直接在代码里解决采用extent”c”、_declspec(dllexport)、#pragma comment(linker, "/export:[Exports Name]=[Mangling Name]")，另一种是采用def文件。

01

关闭反恶意软件保护（第 1 部分）-Windows Defender 防病毒

人们总是低估 Ring 3 的代码执行，因为它在网络攻击的情况下似乎毫无用处。反病毒代理通常会在恶意软件开始造成严重破坏之前将其击败，与在第 0 环中不同，攻击者只需覆盖回调和钩子并继续为所欲为。

02

如何使用RefleXXion绕过用户模式钩子

RefleXXion是一款针对用户模式钩子的安全研究工具，该工具可以通过绕过AV、EPP和EDR等安全解决方案使用的用户模式钩子，来研究安全解决方案的安全性。

01

记一次调试资源管理器未响应经验

有小伙伴告诉我一台设备全触摸失效了，但实际上是资源管理器未响应。通过本文可以了解到调试的思路和用到的工具

02

Cobaltstrike4.0——记一次上头的powershell上线分析

1、CS powershell上线过程分析 2、powershell shellcodeloader分析 3、shellcode内容 4、dll注入相关内容 5、ReflectDllInjection技术分析

01

DllMain中不当操作导致死锁问题的分析--进程对DllMain函数的调用规律的研究和分析

不知道大家是否思考过一个过程：系统试图运行我们写的程序，它是怎么知道程序起始位置的？很多同学想到，我们在编写程序时有个函数，类似Main这样的名字。是的！这就是系统给我们提供的控制程序最开始的地方（注意这儿是提供给我们的，而实际有比这个还要靠前的main）。于是看到DllMain就可以想到它是干嘛的了：Dll的入口点函数。那何时调用这个函数的呢？以及各种调用场景都传给了它什么参数呢？（转载请指明出于breaksoftware的csdn博客）

02

Winnti黑客组织MSSQL后门分析

一段时间以来，ESET的研究人员一直在跟踪Winnti的活动，该组织从2012年起就开始活跃，并针对视频游戏和软件行业供应链进行攻击。最近，发现了一个以前未经记录的后门，其目标是Microsoft SQL（MSSQL）。这个后门与PortReuse后门有多处相似之处，PortReuse是Winnti Group使用的另一个工具，于2019年10月首次记录。

02

SpoolFool：Windows Print Spooler 权限提升 (CVE-2022-21999)

早在 2020 年 5 月，微软就修复了一个 Windows Print Spooler 权限提升漏洞。该漏洞的编号为 CVE-2020–1048，微软承认 SafeBreach Labs 的 Peleg Hadar 和 Tomer Bar 报告了该安全问题。在补丁发布的同一天，Yarden Shafir和Alex Ionescu发表了关于该漏洞的技术文章。本质上，用户可以通过创建指向磁盘上文件的打印机端口来写入任意文件。在修补漏洞 (CVE-2020–1048) 后，Print Spooler 现在将在添加端口之前检查用户是否有权创建或写入文件。补丁和博文发布一周后，Paolo Stagno（又名 VoidSec）私下向微软披露了 CVE-2020–1048 的绕过方法。该绕过在三个月后的 2020 年 8 月得到修补，微软承认有八个独立实体报告了该漏洞，该漏洞被确定为 CVE-2020-1337。该漏洞的绕过使用目录连接（符号链接）来规避安全检查。假设用户创建了目录C:\MyFolder\并配置了一个打印机端口以指向该文件C:\MyFolder\Port。该操作将被授予，因为确实允许用户创建C:\MyFolder\Port. 现在，如果用户随后变成C:\MyFolder\指向C:\Windows\System32\创建端口之后的目录连接会发生什么？好吧，Spooler 会简单地写入文件C:\Windows\System32\Port。

03

WIN32 DLL注入的基本原理

程序在运行时会把自身的二进制文件加入到内存中，其中相关的函数、变量等都会在内存中对应固定的地址。但是程序功能一般不会仅靠单独一个二进制文件实现，有时还需要调用系统提供的API来进行一些操作。而这通常是靠引用预先集成了许多函数的DLL（动态链接库）文件，并调用其中的函数来实现。由于DLL不包含在程序的二进制文件中，所以需要在运行的时候由操作系统加入到进程的内存空间中。

02

加壳脱壳笔记

UPX、ASPack、Petite、WinUpack（Upack）、Themida

04

Windows黑客编程技术详解 --第四章木马启动技术（内含赠书福利）

病毒木马植入模块成功植入用户计算机之后，便会启动攻击模块来对用户计算机数据实施窃取和回传等操作。通常植入和攻击是分开在不同模块之中的，这里的模块指的是DLL、exe或其他加密的PE文件等。只有当前植入模块成功执行后，方可继续执行攻击模块，同时会删除植入模块的数据和文件。模块化开发的好处不单单是便于开发管理，同时也可以减小因某一模块的失败而导致整个程序暴露的可能性。

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭