說起DLL劫持技術，相信大家都不會陌生，因為這種技術的應用比較廣泛，比如木馬后門的啟動、破解程序的內存補丁、外掛插件的注入以及加密狗的模擬等。之所以DLL劫持技術深受黑客們的喜愛，主要是因為該技術可以有效的躲過大部分殺軟，並且實現起來技術難度不大。DLL劫持技術也不是什么新技術，記得 ...

0x1:實驗背景 　　看到國外一篇文章，大致描述如下： 　　根據描述我們可以知道skype存在dll劫持漏洞，在試驗中需要劫持的dll為RtmCodecs.dll，接下來我們開始試驗。 0x2: dll劫持原理 　　由於輸入表中只包含DLL名而沒有它的路徑名，因此加載 ...

前言： 　　DLL劫持指的是，病毒通過一些手段來劫持或者替換正常的DLL，欺騙正常程序加載預先准備好的惡意DLL。如下圖，LPK.dll是應用程序運行所需加載的DLL，該系統文件默認在C:\Windows\system32路徑下，但由於windows優先搜索當前路徑，所以當我們把惡意 ...

當一個可執行文件運行時，Windows加載器將可執行模塊映射到進程的地址空間中，加載器分析可執行模塊的輸入表，並設法找出任何需要的DLL，並將它們映射到進程的地址空間中。由於輸入表中只包含DLL名而沒有它的路徑名，因此加載程序必須在磁盤上搜索DLL文件。首先會嘗試從當前程序所在的目錄加載DLL ...

LPK劫持分析 1．樣本概況 1.1 樣本信息 病毒名稱: lpk劫持 所屬家族：蠕蟲病毒（Worm） 大小: 53760 bytes 文件版本:7.02.2600.5512 (xpsp.080413-0852) 修改時間: 2015年9月29日, 13:10:48 MD5 ...

原理 應用程序通過 socket 進行網絡通信時會調用 ws2_32.dll 的導出函數，比如 send/recv 等，而這些函數時通過更底層的 LSP 提供的 SPI（服務提供者接口）實現的。划重點！！！ ：如果有多個符合條件的 SPI，系統將會調用在 winsock 目錄最前面 ...

一、dll的定義 DLL(Dynamic Link Library)文件為動態鏈接庫文件，又稱“應用程序拓展”，是軟件文件類型。在Windows中，許多應用程序並不是一個完整的可執行文件，它們被分割成一些相對獨立的動態鏈接庫，即DLL文件，放置於系統中。當我們執行某一個程序時，相應的DLL ...

DLL: 由於輸入表中只包含 DLL 名而沒有它的路徑名，因此加載程序必須在磁盤上搜索 DLL 文件。首先會嘗試從當前程序所在的目錄加載 DLL，如果沒找到，則在Windows 系統目錄中查找，最后是在環境變量中列出的各個目錄下查找。利用這個特點，先偽造一個系統同名的 DLL，提供同樣的輸出表 ...