windows黑客編程系列(二):DLL延遲加載和資源釋放

原創 西杭 2020-06-15 14:16

文章目錄

windows黑客編程系列

對VS及windows編程太生硬了,每一步操作都得找好久。

資源釋放

病毒木馬之所以會廣泛使用資源釋放技術,是因爲它可以使程序變得更簡潔。

  • 如果程序需要額外加載一些第三方DLL文件,文本文件,圖片文件,或者其他的音視頻文件等,可以把它們作爲資源插入到程序裏。
  • 等待程序運行後,再把它們釋放至本地。

這樣做的好處是編譯出來的程序只有一個exe文件,而不需要附帶其他文件,因而使程序變得很簡潔,降低了被發現的風險。

資源插入

環境:VS2019

新建控制檯程序即可。

  1. 右鍵資源文件->添加->資源
  2. 選擇自定義,輸入你想填寫的資源類型,我填的是MYTYPES。
  3. 選擇MYTEPES類型,點擊導入
  4. 然後將想插入的文件插入進來。
  5. 插入完成後,我們查看資源文件是否插入成功。視圖->其他窗口->資源視圖

進行資源提取

// ConsoleApplication1.cpp : 此文件包含 "main" 函數。程序執行將在此處開始並結束。
//
#undef UNICODE
#include <Windows.h>
#include <stdio.h>
#include "resource.h"


// 提取資源
BOOL FreeMyResourse(UINT uiResouceName, char *lpszResourceType, char* lpszSaveFileName)
{
	HRSRC hRsrc = FindResource(NULL, MAKEINTRESOURCE(uiResouceName), lpszResourceType);
	if (hRsrc == NULL)
	{
		printf("can't find the resource!\n");
		return FALSE;
	}
	DWORD dwSize = SizeofResource(NULL, hRsrc);
	if (dwSize <= 0)
	{
		printf("the resource's size is error!\n");
		return FALSE;
	}
	HGLOBAL hGlobal = LoadResource(NULL, hRsrc);
	if(hGlobal == NULL)
	{
		printf("load resource error!\n");
		return FALSE;
	}
	LPVOID lpVoid = LockResource(hGlobal);
	if (lpVoid == NULL)
	{
		printf("lock resource error!\n");
		return FALSE;
	}
	FILE* fp = NULL;
	fopen_s(&fp, lpszSaveFileName, "wb+");
	if (fp == NULL)
	{
		printf("open file error!\n");
		return FALSE;
	}
	fwrite(lpVoid, sizeof(char), dwSize, fp);
	fclose(fp);
	return TRUE;
}

int main()
{
	char lpszResourceType[20] = "MYTYPES";
	char szSaveFileName[20] = "555.txt";
	BOOL flag = FreeMyResourse(IDR_MYTYPES2, lpszResourceType, szSaveFileName);
	if (flag == TRUE)
	{
		printf("the resource is free!\n");
	}
	return 0;
}

可以看到555.txt已經提取成功了。

期間遇到的小問題

  1. “char *” 類型的實參與 “LPCWSTR” 類型的形參不兼容
  2. 未定義標識符 “IDR_MYTYPES2”

第一個問題:

#undef UNICODE

在頭文件之前加入此行即可。

第二個問題:

#include "resource.h"

該標識符在上文中插入資源的最後部分展示過了,但程序出現未定義該標識符問題,原因爲沒有引入resource.h的頭文件。

DLL延遲加載

在開發程序的時候,通常會使用第三方庫。但是並不是所有的第三方庫都會提供靜態文件,大多數會提供DLL文件,這樣,程序需要相應的DLL文件才能加載啓動。

DLL延遲加載技術是一種使用延遲加載方式編譯鏈接可執行文件。這樣可執行程序就可以先加載執行,所依賴的DLL在正式調用時再加載進來。

該技術可以跟資源釋放技術結合使用,即將DLL文件加載入exe文件的資源節中,然後通過釋放資源+DLL延遲加載來減小被發現的概率,只需一個exe文件,不需附加額外的DLL文件,也不擔心程序會丟失DLL文件。

如何進行DLL文件的延遲加載

  • 右鍵項目->屬性->鏈接器->輸入->延遲加載的DLL

  • 將需要延遲加載的DLL文件輸入點擊確定即可
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

win32程序運行原理

win32程序運行原理 cpu的保護模式和windows系統 80386處理器有3種工作模式:實模式、保護模式、虛擬86模式。實模式和虛擬86模式是爲了8086處理器兼容而設置的。保護模 式是80386處理器的主要工作模式,保護主要是對

chijianxingfeng 2020-07-08 03:15:31

框架程序基礎

框架程序的狀態信息 對於應用程序來說,有許多的狀態需要維護:如模塊狀態、線程狀態等。 模塊的概念:每一個被加載到內存中的文件成爲一個模塊。一般進程是由多個模塊組成的,通常應用程序都是通過模塊句柄來訪問進 程中的模塊。事實上,模塊的句柄的值

chijianxingfeng 2020-07-08 03:15:31

windows編程——簡述1

操作系統的用戶大多數是在用windows,因此,在windows平臺下的編程技術很應該學習。要在windows平臺下編寫出遊戲之類的軟件,學習一點Windows編程知識是必需的。這系列筆記很適合正在學C語言,面對着黑窗口,認爲C語言做不出

拂面清风 2020-07-07 10:02:06

windows編程——窗口與消息1

1.WinMain函數 WinMain( )函數與DOS程序的main( )函數基本起同樣的作用,但有一點不同的是WinMain( )函數必須帶有四個系統傳遞給它的參數。WinMain()函數的原型如下: int WINAPI Wi

拂面清风 2020-07-07 10:02:05

顯示dos命令ping和tracert等輸出結果中的ip對應的地域名稱

公司老大今天使用了dos命令ping,他想看到其中ip地址對應的地域名稱。 如dos下命令ping www.qq.com的輸出結果是: 正在 Ping www.qq.com [113.108.20.50] 具有 32 字節的數據: 正在

企鹅 2020-07-06 21:15:10

sdk的windows版本

之所以叫作sdk的windows版本,是因爲我有一個linux版本的linux版本。 windows版本的sdk有以下數據結構: 1 可伸縮性hashtable 2 由紅黑樹實現的map 3 多級hash(tencent非常常用的一種數據

企鹅 2020-07-06 21:15:10

第一個具有實際意義的python程序-用於Windows下測試開發的服務DLL

# coding=UTF-8 from ctypes import * import binascii import time import _ctypes import ctypes # 定義回調函數參數的結構體 class Sco

ShaYQ 2020-07-06 03:58:53

VMware windows系統上文件拷貝原理(linux應該類似,拖拽應該也類似)

#include <Windows.h> #include <shlobj.h> IDataObject *pDataObj = NULL; OleGetClipboard(&pDataObj);

笑颜″ 2020-07-05 10:19:30

windows的inf

windows的inf是什麼? 它有什麼麼用? INF是安裝windows驅動的時候需要用到的文件。 它就像一個安裝腳本,告訴windows怎麼安裝驅動, 源文件在哪裏、安裝到哪一個文件夾中、怎樣在註冊表中加入自身相關信息等等。 INF文

mofabang 2020-07-03 05:34:03

windows的exe、lib文件跟c運行時庫怎麼關聯的

2015-11-2 09:22:02 Am Monday 嗨,週一。 一個新的工作周的開始。 在Windows操作系統下,可執行文件的存儲格式是PE(Portable Executable)格式的;在Linux下,可執行文件的存

mofabang 2020-07-03 05:33:52

《解讀window核心編程》 之 字符和字符串處理方式

推薦的字符和字符串處理方式 開始將文本字符串想象爲字符的數組,而不是 char 或字節的數組;用通用數據類型(如 TCHAR/PTSTR )來表示文本字符和字符串;用明確的數據類型(如 BYTE 和 PBYTE )來表示字節,字節指針和數

迷路的麻友 2020-07-02 20:17:55

關於windows 僞句柄

      《windows核心編程》裏提到了“僞句柄”一詞,故名思議,它並不是真的句柄,有時候不會達到你想要的效果。邊看代碼,邊解釋 代碼如下:      // 僞句柄.cpp : 定義控制檯應用程序的入口點。 // #include

zicheng_lin 2020-07-02 05:42:38

enter 指令分析

enter指令分析 enter指令是爲了支持高級語言中的變量作用於而加入的,它不是一個僞指令,但是卻由於效率原因被各大編譯器所摒棄,取而代之的是用多條指令去模擬來提升效率,確實是很悲哀的一個指令。。。 格式          

波罗国首长 2020-06-30 08:53:59

MFC命令行及CCommandLineInfo類

獲取命令行的方法: 1、GetCommandLine() 獲取輸入的所有信息,包括程序所在路徑及參數 2、AfxGetApp()->m_lpCmdLine 只包含參數 一般情況下,獲取到命令行後就可以針對命令行中的內容進行相應的處

波罗国首长 2020-06-30 08:53:59

MFC 窗口句柄獲取

句柄獲取方法(獲取該窗口的句柄後,即可向該窗口類類發送消息、處理程序):0。獲取所在類窗口的句柄:this->m_hwnd1。主窗口的句柄:無論在主窗口類內,還是子窗口類內,獲取主窗口句柄的方法:AfxGetMainWnd()->m_hW

波罗国首长 2020-06-30 08:53:59