GetFullPathNameA返回项目的路径(WinAPI C) [已解决] - 腾讯云开发者社区

文章/答案/技术大牛

发布

使用 Cobalt Strike 的 Beacon 对象文件自定义 DLL 注入

基础信标对象文件 (BOF) 是一个已编译的 C 程序，按照约定编写，允许在信标进程中执行并使用内部信标 API。 BOF 也非常小。...DLL 注入 Cobalt 的 DLL 注入模块解决了上一节提到的很多问题。DLL 注入，或反射 dll 注入，本质上是 LoadLibrary WINAPI 函数的实现。...解决任何依赖关系。调用 DLL 入口点 (DllMain)。这种技术非常有效并且相当安全。...BOF文件信标对象文件只是标准的 C 文件，允许执行 WinAPI 函数以及在“beacon.h”中定义的附加信标函数。...我想出了以下内容，它接受文件路径的参数并将文件路径中的数据发送到我们的 BOF。

2.6K2 0

windows服务管理操作

、启动类型以及依赖项上述代码只能获取到系统服务的部分信息，比如服务的名称，显示名称，等等至于其他的信息需要调用另外的API函数获取 OpenService获取具体服务的句柄 SC_HANDLE WINAPI...; LPTSTR lpDependencies; //依赖项 LPTSTR lpServiceStartName; LPTSTR lpDisplayName; //显示名称 }...SERVICE_STOPPED 已停止 SERVICE_PAUSED 已暂停 SERVICE_CONTINUE_PENDING 正在恢复 SERVICE_PAUSE_PENDING 正在暂停 SERVICE_START_PENDING...另外需要注意的是这个函数只对已停止的服务起作用，所以在删除之前需要将服务停止。...另外需要注意的是这个函数只对已停止的服务起作用，所以在删除之前需要将服务停止。

2.1K1 1

您找到你想要的搜索结果了吗？

是的

没有找到

Shellcode 技术

简而言之，直接系统调用是直接对内核系统调用等效的 WINAPI 调用。我们不调用它，而是调用它在 Windows 内核中定义的ntdll.dll VirtualAlloc内核等效项。...RefleXXion是一个 C++ 库，它实现了MDSec对该技术所做的研究。...RelfeXXion 使用直接系统调用NtOpenSection并NtMapViewOfSection获得一个清理的ntdll.dll句柄\KnownDlls\ntdll.dll（具有先前加载的 DLL 的注册表路径...然后它会覆盖已.TEXT加载的部分ntdll.dll，这会清除 EDR 挂钩。我建议使用调整 RefleXXion 库来使用与上面第 7 节中描述的相同的技巧。 9....许多 C2 框架利用 Stephen Fewer 的ReflectiveLoader。

2K2 0

Understanding-and-bypassing-AMSI

基础知识反恶意软件扫描接口简称"AMSI"，它是微软在Windows中阻止危险脚本执行的解决方案，AMSI理论上是一个好的解决方案，它通过分析正在执行的脚本然后根据是否发现恶意内容来阻止或允许，然而正如我们稍后将讨论的那样...然后我们应该能够对蓝队和EDR隐藏恶意脚本执行函数hook 函数hook是一种在函数被调用之前对其进行控制的方法，这使我们作为攻击者可以做多种事情，例如：记录参数、允许/阻止功能的执行、覆盖传入函数的参数、并决定要返回的值...* OriginalMessageBox)(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) = MessageBox; int WINAPI...答案是代码注入，我们需要让我们的代码进入AMSI所在的同一个进程，然后hook函数并返回一个安全消息 DLL注入 DLL(动态链接库)是一种类似于PE/COFF的文件格式，但它是不可执行的,就其本身而言它需要在运行时加载一个...PROCESS_ALL_ACCESS, FALSE, procID); if (hProc == INVALID_HANDLE_VALUE) { return FALSE; } GetFullPathNameA

6471 0

DLL注入与安全

因此，我们需要把dll的路径和名字写入到内存中。...虽然我们写入了dll路径和名字，但还木有加载到内存中呢。因此我们创建一个远程线程。并让远程线程执行，调用我们dll的API函数。...是的，我们可以HOOK住这个API.这个API，仅仅我们自己调用ok，其他程序调用，我们就给他返回NULL。可以采用用户级和驱动级别的APIhook。 ...原理：直接修改应用程序的二进制文件，达到注入的目的。困难：计算机执行时根据二进制代码0-1执行的，因此我们需要修改的是不同位置的0-1数据。...导入目录表中要增加一项，我们导入dll信息。插入函数名，dll名，函数真实地址和函数名称地址。修改节点大小。

7872 0

文件操作API

正好以前看过一篇文章写的是遍历文件夹中指定文件，于是我可以利用它来解决我的问题。遍历那个部分我就不讲了……涉及的东西太多(又是链表又是递归的)。先讲讲几个简单的API。...这个函数返回值是BOOL类型。通过GetLastError 函数能得到出错的原因。...第三个参数是个BOOL型，填TRUE 代表：若目标文件已存在，不覆盖文件，函数返回错误。填FALSE代表：若目标文件已存在，覆盖文件。 ...函数返回值也是BOOL，可以通过GetLastError函数判断出错原因。如果你第三个参数填的TRUE，出错估计就是因为文件已存在。 ...源代码发在附件里，工程用C-FREE建的。

8662 0

C#中DllImport用法汇总

当签名被转换时，它被转换为一个具有HRESULT返回值和该返回值的一个名为retval的附加输出参数的签名。如果未指定PreserveSig，则使用默认值true。...web中的，同时也是应用程序中的后来发现用[DllImport(@"C:\OJ\Bin\Judge.dll")]这样指定DLL的绝对路径就可以正常装载。...经过一翻研究，终于想到了一个完美的解决办法。...二 C# 中调用C++代码 int 类型 [DllImport(“MyDLL.dll")] public static extern int mySum (int a1,int b1); //返回个...int 类型 extern “C” __declspec(dllexport) int WINAPI mySum(int a2,int b2) //DLL中申明 { //a2 b2不能改变

2.7K1 0

图形编程丨图形绘制基础imgui篇—D3D9 HOOK 创建内部Imgui窗口

作者：小阿栗Imgui又称为Dear ImGui，它是与平台无关的C++轻量级跨平台图形界面库，没有任何第三方依赖，可以将Imgui的源码直接加到项目中使用，也可以编译成dll, Imgui使用DX或者...配置5.1 选择属性5.2 修改运行库以及Spectre缓解，选择应用5.3 配置include路径，点击“宏”，搜索DX，根据地址找到文件位置，将 $(DXSDK_DIR)include填入，应用5.4...配置好环境后，编译HOOK库(编译x86和x64两个版本)X86：找到Visual Studio2017，打开“x86 Native Tools Prompt for VS 2017”，然后cd到路径里...nmake进行编译X64：找到Visual Studio2017，打开“适用于VS 2017的 x64 本机工具命令提示”，然后cd到路径里nmake进行编译7.打开项目文件夹8.新建一个目录Detours...和imgui_impl_win32.cpp、imgui_impl_win32.h；及主目录下所有.cpp和.h都复制到imgui文件夹中12.2新建筛选器，命名imgui12.3在imgui中添加现有项，

5.7K5 2

C++ MiniZip实现目录压缩与解压

参数： zfile：已打开的 ZIP 文件。 filepath：文件夹路径。 parentdirName：在 ZIP 文件内的相对文件夹名。...参数： zfile：已打开的 ZIP 文件。 fileNameinZip：在 ZIP 文件内的相对文件路径。 srcfile：源文件路径。...PathIsDirectoryA(destFilePath.c_str())) { // 将路径格式统一 destFilePath = replace_all(destFilePath...返回值：替换后的字符串。...参数： direct：目录路径。返回值：如果成功创建目录返回 TRUE，否则返回 FALSE。

2.5K1 0

4.5 MinHook 挂钩技术

注入到特定进程内，此时点击弹窗提示会发现弹窗内容已经被替代了，如下图所示；实现修改窗口标题一般来说程序中的修改标题功能都是调用SetWindowTextA来实现的，我们可以Hook这个函数对其进行处理后返回新标题即可...如下代码通过对SetWindowTextA函数进行挂钩，当读者点击设置标题是则触发自定义fpSetWindowTextA函数，该函数内部通过调用自定义标题修改函数实现了将当前软件标题替换为破解版本，并返回给用户...通过对该进程进行挂钩，即可实现监控应用层其他进程创建或销毁的目的，读者可自行使用64位库编译下方代码，并注入到explorer.exe进程中，即可实现监控进程的创建功能。...UnHook(); break; } return TRUE; } 读者可使用x64模式编译上方代码，并将其注入到explorer.exe文件中，至此当有新进程被加载时则会弹出该进程的详细路径信息...，如下图所示；本文作者：王瑞本文链接： https://www.lyshark.com/post/c425464c.html 版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA

7162 0

4.5 MinHook 挂钩技术

注入到特定进程内，此时点击弹窗提示会发现弹窗内容已经被替代了，如下图所示；图片实现修改窗口标题一般来说程序中的修改标题功能都是调用SetWindowTextA来实现的，我们可以Hook这个函数对其进行处理后返回新标题即可...如下代码通过对SetWindowTextA函数进行挂钩，当读者点击设置标题是则触发自定义fpSetWindowTextA函数，该函数内部通过调用自定义标题修改函数实现了将当前软件标题替换为破解版本，并返回给用户...通过对该进程进行挂钩，即可实现监控应用层其他进程创建或销毁的目的，读者可自行使用64位库编译下方代码，并注入到explorer.exe进程中，即可实现监控进程的创建功能。...UnHook(); break; } return TRUE;}读者可使用x64模式编译上方代码，并将其注入到explorer.exe文件中，至此当有新进程被加载时则会弹出该进程的详细路径信息...，如下图所示；图片本文作者：王瑞本文链接： https://www.lyshark.com/post/c425464c.html版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议

9694 0

WINHTTP的API接口说明。

err code: ERROR_WINHTTP_SHUTDOWN winhttp已关闭或卸载 ERROR_WINHTTP_INTERNAL_ERROR INTERNAL错误 ERROR_NOT_ENOUGH_MEMORY...ERROR_WINHTTP_SHUTDOWN winhttp已关闭或卸载 ERROR_NOT_ENOUGH_MEMORY 内存不够 BOOL WINAPI WinHttpCrackUrl...dwUrlLength, _In_ DWORD dwFlags, _Inout_ LPURL_COMPONENTS lpUrlComponents ); 作用：分离host和路径...这信结构体将应用到WINHTTP_OPTION_PROXY结构中的option项。释放结构中的lpszProxy和lpszProxyBypass字符串，使用 GlobalFree 函数。...假设填为NULL，则默信为0-123 返回值：全部的错误代码表明，底层的TCP连接已中断。 ERROR_IO_PENDING 操作将异步完毕。

4.1K2 0

抛砖引玉之CobaltStrike4.1的BOF

关于cs4.1新出的功能，在很早之前，公众号已发过相关文章，在此不再赘述，具体更新信息，可去(https://www.cobaltstrike.com/releasenotes.txt)查看。...hello.c -o hello.x64.o * i686-w64-mingw32-gcc -c hello.c -o hello.x86.o 这样我们便得到了.o的文件。...这样便做到了get域名成的目的。对于有C语言功底的人来说，便可以使用其达到各种各样的功能，部分API如下： ?...那么接下来，我们便来手把手的写一个BOF来武装我们的CobaltStrike 如果你之前有c的开发经验，你会发现上面的demo中 DECLSPEC_IMPORT DWORD WINAPI NETAPI32...xx.c -o luser.x64.o 得到BOF文件，下面我们来试试效果： ?

1.5K2 0

CC++ Inline Hook 钩子编写技巧

我们还需要计算出程序的返回地址，只需要用【772A1f8A - 772A1F70 = 1A】返回地址就是基址加上1A 直接附上代码： #include #include <stdio.h...hWnd, LPCSTR lpString){ return Old_SetWindowTextA(hWnd, "已破解"); } bool APIENTRY DllMain(HANDLE handle..., DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile) { char *temp = "c:...HWND hWnd, LPCSTR lpString){ return Old_SetWindowTextA(hWnd, "已破解"); } int WINAPI MyMessageBoxA(HWND...str, 10); MessageBoxA(0, str, 0, 0); return true; } 拦截DLL注入：当本DLL被加载后，我们就无法向程序中注入DLL了，起到了简单保护进程的目的

3.5K2 0

C++CLI 中创建WPF项目的方法探索

C++/CLI中创建WPF项目的方法 `C++/CLI`下创建WPF项目的方法 C++/CLI下创建WPF项目的方法 Visual C++中创建WPF项目的方法由于WPF不仅仅支持C#/VB开发，还支持其他语言...，比如: C++、F#等开发，于是大白我最近花了点时间摸索了一下，本文主要介绍C++/CLI下创建WPF项目的方法。...C++ 2015 Redistributable Update 3 RC 可以解决，x64和x86的运行库都需要安装。...网上找了下解决方案，发现将目前用的 int main()改为int WINAPI WinMain() 可以解决，要能使用WinMain()则需要引入windows.h头文件。...大白今天躺坑完毕，总算解决了问题，先酱~ 第一个版本代码已上传到 github: https://github.com/yanglr/CppWpfDemo/tree/master/CppWpfDemo/

2.6K1 0

科普 | DLL劫持原理与实践

那么最终Windows2003以上以及win7以上操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径，之后，应用程序就将DLL载入了自己的内存空间...2、然后文件→新建→项目→[已安装 > Visual C++ > Windows桌面]→动态链接库（DLL），生成一个cpp文件。这里我命名为 shiyan_dll ?...extern "C" int __declspec(dllexport)add(int x, int y); #endif 5、这个时候，点击生成→生成解决方案，然后我们的DLL函数就好了。...2、然后文件→新建→项目→[已安装 > Visual C++ > Windows桌面]→Windows 控制台应用程序，生成一个cpp文件。这里我命名为 shiyan_c++ ?...6、点击项目→shiyan_c++属性→C\C++→预编译头→选择不适用预编译头，然后选择应用，确认。 ? 7、这个时候，点击生成→生成解决方案，然后我们的加载DLL函数的exe文件就好了。

5.5K4 1

【操作系统】多线程之线程同步

用互斥体解决上面的这个问题。避免产生资源竞争。 ---- 互斥对象属于内核对象，它能够确保线程拥有对当个资源的互斥访问权。互斥对象包含一个使用数量，一个线程ID和一个计数器。...线程访问共享资源结束之后，要主动释放对互斥对象的所有权，使该对象处于已通知状态。...内核对象A，B的引用计数减为0，被操作系统内核销毁，而进程1只减少自身对CD的引用计数，不会影响进程2对C、D的引用计数，此时C、D的引用计数不为0，不会被销毁。进程2退出，1不退出时。...进程2减少自身对C、D的引用次数，不会影响进程1，故A,B,C,D都不会被销毁进程1,2均退出时，只要 ABCD不被其它进程使用，内核推向ABCD的引用计数均递减为0，被内核销毁。...(也就是说实际上创建一个内核对象之后，真是的引用计数其实是2) 6.当调用CloseHandle(hThread)时，系统通过hThread计算出此句柄在句柄表中的索引，然后把那一项标注为空闲可用的项

8053 0

visual studio 2015上写x64位汇编

x01 配置项目在项目上右键->生成依赖项->生成自定义然后勾选，masm选项：然后接下来就可以在项目的源文件中添加asm文件。右键源代码->添加->添加新建项->文件后缀修改为asm。...mov val1,r10 ; 使用自定义的变量 mov rax,val1 ; 写入返回值 add rsp,28h ret FUNC2 ENDP END 这样就可以实现在汇编中调用C的函数了...在32位系统中我们调用的用户态API一般都遵循WINAPI(__stdcall)的调用约定,主要规则有两条: 1. 函数参数由右向左入栈;2....所以在调用一个遵循WINAPI的函数之后，不需要自己来做被调函数栈空间的清除，因为被调函数已经恢复过了。而在x64汇编中，两方面都发生了变化。...mov r9, 0 call MessageBoxA add rsp,28h ret FUNC2 ENDP END 看雪上的大佬说sub rsp,28h是为了给被调用函数的参数和返回地址预留栈空间

1.6K2 0

【Rust调用Windows API】获取正在运行的全部进程信息

前言WIndows API官方文档提供了C++的调用示例，最近想尝试用Rust去实现，本系列博客记录一下实现过程。...;use winapi::um::errhandlingapi::GetLastError;/// 保存进程快照并返回进程信息迭代器 `ProcessInformationIterator`pub fn...如果保存进程快照失败，返回的句柄会是一个无效的值（这里用了两个条件或的关系去判断是否无效，其实任用其一都可以，他们都表示一个“空”内存或“空”指针），使用 GetLastError 方法可以获取错误代码...) fn char_arr_to_string(chars: &[i8]) -> String { chars.into_iter().map(|&c| c as u8 as char).collect...self.process_snapshot); } self.finished = true; }}代码汇总我在写的时候放在了自定义的utils::process::win包下面，具体引用路径根据自己的情况调整

1.6K2 0

反虚拟机和沙箱检测的一些小技巧

可以用多种方法检测文件是否存在，如：WMIC，WINAPI和CMD。...我们使用WINAPI GetTickCount()来获取机器已运行的时间（以秒为单位）。然后判断开机运行时间是否大于1个小时，如果开机时间小于1小时就返回false。下图是示例代码： ?...下图代码使用GlobalMemoryStatusEx()来获得一个DWORDLONG类型的内存大小，然后与4GB比较，小于4GB返回false，大于4GB返回true。 ?...4，CheckCPU()将返回false，检测不通过。...先使用GetEnvironmentVariable()获取temp路径，再利用FindFirstFile()与FindNextFile()枚举temp文件夹内的文件数量，如果小于30，就返回false，

9.6K2 0

点击加载更多

使用 Cobalt Strike 的 Beacon 对象文件自定义 DLL 注入

windows服务管理操作

Shellcode 技术

Understanding-and-bypassing-AMSI

DLL注入与安全

文件操作API

C#中DllImport用法汇总

图形编程丨图形绘制基础imgui篇—D3D9 HOOK 创建内部Imgui窗口

C++ MiniZip实现目录压缩与解压

4.5 MinHook 挂钩技术

4.5 MinHook 挂钩技术

WINHTTP的API接口说明。

抛砖引玉之CobaltStrike4.1的BOF

CC++ Inline Hook 钩子编写技巧

C++CLI 中创建WPF项目的方法探索

科普 | DLL劫持原理与实践

【操作系统】多线程之线程同步

visual studio 2015上写x64位汇编

【Rust调用Windows API】获取正在运行的全部进程信息

反虚拟机和沙箱检测的一些小技巧

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐