说起DLL劫持技术，相信大家都不会陌生，因为这种技术的应用比较广泛，比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱，主要是因为该技术可以有效的躲过大部分杀软，并且实现起来技术难度不大。DLL劫持技术也不是什么新技术，记得 ...

0x1:实验背景 　　看到国外一篇文章，大致描述如下： 　　根据描述我们可以知道skype存在dll劫持漏洞，在试验中需要劫持的dll为RtmCodecs.dll，接下来我们开始试验。 0x2: dll劫持原理 　　由于输入表中只包含DLL名而没有它的路径名，因此加载 ...

前言： 　　DLL劫持指的是，病毒通过一些手段来劫持或者替换正常的DLL，欺骗正常程序加载预先准备好的恶意DLL。如下图，LPK.dll是应用程序运行所需加载的DLL，该系统文件默认在C:\Windows\system32路径下，但由于windows优先搜索当前路径，所以当我们把恶意 ...

当一个可执行文件运行时，Windows加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL ...

LPK劫持分析 1．样本概况 1.1 样本信息 病毒名称: lpk劫持 所属家族：蠕虫病毒（Worm） 大小: 53760 bytes 文件版本:7.02.2600.5512 (xpsp.080413-0852) 修改时间: 2015年9月29日, 13:10:48 MD5 ...

原理 应用程序通过 socket 进行网络通信时会调用 ws2_32.dll 的导出函数，比如 send/recv 等，而这些函数时通过更底层的 LSP 提供的 SPI（服务提供者接口）实现的。划重点！！！ ：如果有多个符合条件的 SPI，系统将会调用在 winsock 目录最前面 ...

一、dll的定义 DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL ...

DLL: 由于输入表中只包含 DLL 名而没有它的路径名，因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL，如果没找到，则在Windows 系统目录中查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的 DLL，提供同样的输出表 ...