开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在一个进程中加载了两次相同的DLL

在一个进程中加载两次相同的DLL，可能会导致问题和不稳定的行为。这是因为DLL（Dynamic Link Library）是一个包含多个函数和功能的代码库，加载两次相同的DLL会占用两倍的内存空间，并可能导致函数冲突和不可预测的行为。

为了避免这种情况，建议在设计应用程序时，确保每个DLL只加载一次。如果需要使用相同的功能，可以考虑使用多个实例或者在代码中实现相应的逻辑来共享DLL。

如果确实需要在一个进程中加载两次相同的DLL，可以考虑使用独立的命名空间或者使用不同的别名来加载两个DLL，以避免冲突。

相关搜索:在C++的进程中查找加载的DLL的内存地址如何查找加载到进程中的DLL及其位置等在进程中调用DLL接口触发dll模块中的堆栈损坏错误在Erlang中两次赋值相同的值在Map中添加两次相同的键如何获取注入到另一个进程中DLL的远程进程地址在SQL Server中打印相同的行两次在db nodejs中插入相同的值两次如何让一个进程在linux中重新加载？在一个进程中加载的最大appdomains数如何修复在redux中两次更新相同的信息？owl轮播中的HTML5视频以某种方式加载了两次我的对象数组在本地存储中存储了两次 ImportError: DLL加载失败:在PyCharm中找不到指定的模块 DLL加载失败:找不到指定的模块。在matplotlib程序中无法在json数组中创建相同的参数值两次在实现延迟加载模块之后，主组件在路由器插座中呈现了两次- Angular 8 在Java中,是否可以知道是否已经加载了一个类？如何避免在flutter中再次加载相同的屏幕？刷新时在webview中重新加载相同的URL

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

DllMain中不当操作导致死锁问题的分析--进程对DllMain函数的调用规律的研究和分析

不知道大家是否思考过一个过程：系统试图运行我们写的程序，它是怎么知道程序起始位置的？很多同学想到，我们在编写程序时有个函数，类似Main这样的名字。是的！这就是系统给我们提供的控制程序最开始的地方（注意这儿是提供给我们的，而实际有比这个还要靠前的main）。于是看到DllMain就可以想到它是干嘛的了：Dll的入口点函数。那何时调用这个函数的呢？以及各种调用场景都传给了它什么参数呢？（转载请指明出于breaksoftware的csdn博客）

02

枚举进程中的模块

在Windows中枚举进程中的模块主要是其中加载的dll，在VC上主要有2种方式，一种是解析PE文件中导入表，从导入表中获取它将要静态加载的dll，一种是利用查询进程地址空间中的模块，根据模块的句柄来得到对应的dll，最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段：

02

绕过卡巴进程保护的一些总结

前两天朋友去面试极光等一些企业遇到了一些问题记录了下来，问我有没有什么想法。问题是关于域管登录过的域内主机，卡巴之类的杀软保护了 lsass 进程，有哪些方法可以读取域管的明文密码。

01

针对APT攻击的终端安全系统大规模评估

高级持续性威胁（APT，Advanced Persistent Threat）对蓝队来说是一项重大挑战，因为攻击者会长时间应用各种攻击，阻碍事件关联和检测。在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统（EDR，Endpoint Detection and Response）和其他安全解决方案在检测和预防 APT 方面的功效。结果表明，由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击，因此仍有很大的改进空间。此外，还讨论了篡改 EDR 遥测提供者的方法，从而允许攻击者进行更隐蔽的攻击。

Cobaltstrike4.0——记一次上头的powershell上线分析

1、CS powershell上线过程分析 2、powershell shellcodeloader分析 3、shellcode内容 4、dll注入相关内容 5、ReflectDllInjection技术分析

01

Donut - 将 .NET 程序集作为 Shellcode 注入

在过去的一年里，进攻和红队的交易技巧发生了显着变化。随着反恶意软件系统提高检测和阻止攻击性工具的能力，攻击者正在将注意力转移到 AV 无法观察到的技术上。目前，这意味着完全在内存中操作并避免将文件放到磁盘上。在 Windows 世界中，.NET 框架为此提供了一种方便的机制。但是，它受到严格限制，因为 .NET 程序不能直接注入远程进程。在本文中，我们将通过描述如何通过 shellcode 将 .NET 代码注入进程来解决这个问题。

00

瞅一瞅Andromeda僵尸网络

原文：http://blog.fortinet.com/post/A-Good-Look-at-the-Andromeda-Botnet 翻译：徐文博 Andromeda是一个模块化的bot。最原始的bot仅包含一个加载器，在其运行期间会从C&C服务器上下载相关模块和更新，它同时也拥有反虚拟机和反调试的功能。它会注入到可信进程中来隐藏自己，然后删除原始的bots。该bot会潜伏很长时间（从几天到几个月不等）才与C&C服务器进行通信。所以，很难获取到感染主机和C&C服务器间的网络流量信息。最新的官方编译版本

09

检测本地文件躲避安全分析

来源：安全客原文链接：https://www.brokenbrowser.com/detecting-local-files-to-evade-analysts/ 译者：WisFree 前言上个月，我们一直都在尝试弄清楚攻击者到底是如何通过检测目标系统中应用程序的相关MIME类型来对用户进行攻击的。如果目标计算机中安装了反病毒工具的话，恶意软件将拒绝下载恶意代码。这样一来，攻击者不仅可以保证恶意软件不会被检测工具所检测到，而且还可以在目标主机中潜伏很长的时间。当然了，所有的这一切都发生在浏览器中。虽然厂

04

解包分析攻击越南机场和其它组织机构的间谍程序

根据我们接触到了前期入侵越南组织机构的间谍程序捕获样本，入侵活动涉及7月底对越南两大机场的攻击事件，攻击中使用的恶意软件用于窃取越南航空公司40万会员信息。这些入侵活动中使用的攻击载荷是伪装成杀毒软件McAfee的Korplug RAT变种。本文描述了从隐藏软件中提取最终攻击载荷的过程。 1 分析样本 884d46c01c762ad6ddd2759fd921bf71 – McAfee.exe c52464e9df8b3d08fc612a0f11fe53b2 - McUtil.dll（she

08

What is "Type" in managed heap?

我们知道，在程序运行过程中，每个对象（object）都是对应了一块内存，这里的对象不仅仅指的是某个具体类型的实例（instance），也包括类型（type）本身。我想大家也很清楚CLR如何为我们创建一个类型的实例（instance）的：CLR计算即将被创建的Instance的size（所有的字段加上额外的成员所占的空间：TypeHandle和SyncBlockIndex）；在当前AppDomain对应的managed heap中为之开辟一块连续的内存空间；初始化Instance的这两个额外的成员TypeHa

08

[译] APT分析报告：04.Kraken新型无文件APT攻击利用Windows错误报告服务逃避检测

这是作者新开的一个专栏，主要翻译国外知名的安全厂商APT报告文章，了解它们的安全技术，学习它们溯源APT组织的方法，希望对您有所帮助。前文分享了APT组织Fin7 / Carbanak的Tirion恶意软件，包括OpBlueRaven行动。这篇文章将介绍一种新型无文件APT攻击Kraken，它会利用Windows错误报告服务逃避检测。其中，DllMain函数反分析检查，以确保它不在分析/沙箱环境或调试器中运行非常值得我们学习。

03

Wannacry深度解析：第一阶段tasksche

WannaCry 勒索软件是2017年最热门的勒索软件，它利用微软漏洞在全球范围内发起的攻击令世界上100多个国家的成千上万的用户深受影响。俨然一场全球范围内的网络安全普及教育。作为一名安全行业工作者，我对WannaCry进行了深度的分析。完整的分析可以帮助安全行业工作者了解黑客的的最新攻击手段，为防护领域的解决方案提供有价值的信息，更进一步尝试发现软件弱点，为客户提供有价值的数据恢复服务。我之前对CryptXXX，Cerber以及Locky这几种高热点勒索软件进行过深入分析，Wannacry这款勒索

06

一种 Au3 远控木马变种样本分析

一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 （简称 Au3）是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言，其语法类似BASIC。使用 Au3 开发的程序，能够具有以下功能：模拟击键和鼠标移动操作；对窗口和进程进行操作；与所有标准的 Windows 控件进行交互。编译的独立可执行文件无需安装任何运行环境。可创建图形用户界面（ GUI ）；支持 COM ；支持正则表达式；可直接调用外部 DLL 和 Windows API

07

Alternative Process Injection

2 .WriteProcessMemory -> 将解密/解码的shellcode写入内存空间

04

Windows下的代码注入

木马和病毒的好坏很大程度上取决于它的隐蔽性，木马和病毒本质上也是在执行程序代码，如果采用独立进程的方式需要考虑隐藏进程否则很容易被发现，在编写这类程序的时候可以考虑将代码注入到其他进程中，借用其他进程的环境和资源来执行代码。远程注入技术不仅被木马和病毒广泛使用，防病毒软件和软件调试中也有很大的用途，最近也简单的研究过这些东西，在这里将它发布出来。想要将代码注入到其他进程并能成功执行需要解决两个问题：

02

如何使用aDLL自动识别DLL劫持漏洞

aDLL是一款功能强大的代码分析工具，可以帮助广大研究人员以自动化的方式识别并发现DLL劫持漏洞。该工具可以分析加载至内存中的源码镜像，并在加载过程中搜索DLL，并且利用了微软Detours代码库来拦截针对LoadLibrary/LoadLibraryEx函数的调用，然后分析在代码运行时过程中加载的DLL文件。

02

“暗云”BootKit木马详细技术分析

“暗云”木马简介： “暗云”是一个迄今为止最复杂的木马之一，感染了数以百万的计算机，暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术，直接感染磁盘的引导区，感染后即使重装格式化硬盘也无法清除。该木马使用了很多创新的技术，有以下特点：第一、隐蔽性非常高，通过Hook磁盘驱动实现对已感染的MBR进行保护，防止被安全软件检测和清除，并且使用对象劫持技术躲避安全人员的手工检测。隐蔽性极高，截至目前为止，几乎所有的安全软件都无法检测和查杀该木马。第二、云思想在

06

.NET 的程序集加载上下文

我们编写的 .NET 应用程序会使用到各种各样的依赖库。我们都知道 CLR 会在一些路径下帮助我们程序找到依赖，但如果我们需要手动控制程序集加载路径的话，需要了解程序集加载上下文。

03

edr对抗技术1-api unhook output

这里借用别人的一张图，大概是这样：因为刚开始是有一个ntdll被载入内存，然后杀软对其hook，自然也就是修改了代码段。然后这个时候，我们用新的ntdll的代码段覆盖被hook的代码段，实现ntdll重载。

01

Agent Tesla商业木马来袭，印度地区首当其冲

一. 概述 Agent Tesla源于2014年的一款键盘记录产品，演变至今，俨然成为了黑客专门用来窃密的工具软件。随着地下市场的需求增加以及攻防的对抗升级，Agent Tesla覆盖面愈来愈广，功能也愈来愈精密。 AgentTesla变种所窃密的软件多达76种，无论是浏览器、FTP、VPN、邮箱、通讯软件、下载工具、数据库无一幸免。在对抗层面，此次变种使用的手段提供了反沙箱、反虚拟机以及反windows defender的相关功能，同时诱饵文件使用了多层或分批解密，大大增加了分析难度。 Agent Tes

01

任意文件移动导致的Windows提权攻击分析

本文介绍了如何滥用Windows上特权进程执行文件操作来实现本地特权升级（用户到管理员/系统），同时介绍了利用这些类型的错误的现有技术以及漏洞利用工具。

02

SpoolFool：Windows Print Spooler 权限提升 (CVE-2022-21999)

早在 2020 年 5 月，微软就修复了一个 Windows Print Spooler 权限提升漏洞。该漏洞的编号为 CVE-2020–1048，微软承认 SafeBreach Labs 的 Peleg Hadar 和 Tomer Bar 报告了该安全问题。在补丁发布的同一天，Yarden Shafir和Alex Ionescu发表了关于该漏洞的技术文章。本质上，用户可以通过创建指向磁盘上文件的打印机端口来写入任意文件。在修补漏洞 (CVE-2020–1048) 后，Print Spooler 现在将在添加端口之前检查用户是否有权创建或写入文件。补丁和博文发布一周后，Paolo Stagno（又名 VoidSec）私下向微软披露了 CVE-2020–1048 的绕过方法。该绕过在三个月后的 2020 年 8 月得到修补，微软承认有八个独立实体报告了该漏洞，该漏洞被确定为 CVE-2020-1337。该漏洞的绕过使用目录连接（符号链接）来规避安全检查。假设用户创建了目录C:\MyFolder\并配置了一个打印机端口以指向该文件C:\MyFolder\Port。该操作将被授予，因为确实允许用户创建C:\MyFolder\Port. 现在，如果用户随后变成C:\MyFolder\指向C:\Windows\System32\创建端口之后的目录连接会发生什么？好吧，Spooler 会简单地写入文件C:\Windows\System32\Port。

03

APT32样本分析

该恶意文档，共被植入了三段恶意宏代码，宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。

02

12、动态链接库,dll

动态链接库通常都不能直接运行，也不能接收消息。它们是一些独立的文件，其中包含能被可执行程序或其它DLL调用来完成某项工作的函数。只有在其它模块调用动态链接库中的函数时，它才发挥作用。

02

Windows黑客编程技术详解 --第四章木马启动技术（内含赠书福利）

病毒木马植入模块成功植入用户计算机之后，便会启动攻击模块来对用户计算机数据实施窃取和回传等操作。通常植入和攻击是分开在不同模块之中的，这里的模块指的是DLL、exe或其他加密的PE文件等。只有当前植入模块成功执行后，方可继续执行攻击模块，同时会删除植入模块的数据和文件。模块化开发的好处不单单是便于开发管理，同时也可以减小因某一模块的失败而导致整个程序暴露的可能性。

05

MemTracer：一款功能强大的内存扫描工具

MemTracer是一款功能强大的内存扫描工具，该工具提供了一种实时内存分析功能，可以帮助广大研究人员或数字取证专家扫描、发现和分析隐藏在内存中的不易被发现的恶意行为或网络攻击痕迹。

01

Sliver取代Cobalt Strike成黑客渗透工具“新宠”

8月25日消息，攻击者逐渐弃用Cobalt Strike渗透测试套件，转而使用不太知名的类似框架。开源跨平台工具Sliver正取代Brute Ratel成为受攻击者青睐的武器。在过去的几年里，Cobalt Strike被各类攻击者滥用（包括勒索软件操作），攻击者利用它在被攻击的网络上投放 "信标"，横向移动到高价值系统。但防守方已经掌握检测和阻止Cobalt Strike攻击的方法，攻击者转向尝试其他可以逃避端点检测和响应（EDR）和防病毒解决方案的工具。微软的一份报告指出，从国家支持的团体到网络犯

01

Visual Studio中/MD /MDd /MT /MTd的含义以及_ITERATOR_DEBUG_LEVEL错误的解决方法

先上结论，如果你遇到了_ITERATOR_DEBUG_LEVEL doesnt match error，那一定是你链接的库的DEBUG或RELEASE版本与你当前的项目活动配置不符。不同的值代表的含义如下：

02

DllMain中不当操作导致死锁问题的分析——DllMain中要谨慎写代码（完结篇）

之前几篇文章主要介绍和分析了为什么会在DllMain做出一些不当操作导致死锁的原因。本文将总结以前文章的结论，并介绍些DllMain中还有哪些操作会导致死锁等问题。（转载请指明出于breaksoftware的csdn博客） DllMain的相关特性

02

白加黑免杀制作（详细）

最近被微步的一篇文章吸引了，里面讲到银狐通过自解压白 exe + 黑 dll 执行截取主线程添加自启动，发现 dll 与普通的免杀有很大的不同，决定自己尝试一下，虽然我之前没有做过白加黑免杀，感觉应该不会太难，但是当我真正尝试的时候才发现很多问题，如：

07

安全研究 | 使用ScareCrow框架实现EDR绕过

ScareCrow是一款功能强大的Payload创建框架，可以帮助广大研究人员生成用于向合法Windows金册灰姑娘中注入内容的加载器，以绕过应用程序白名单控制。当DLL加载器加载进内存中之后，将会使用一种技术来将EDR钩子从正在进程内存中运行的系统DLL中清理掉，这是因为我们知道EDR的钩子是在这些进程被生成时设置的。ScareCrow可以通过使用API函数VirtualProtect来在内存中对这些DLL进行操作，该函数可以将进程的内存权限的一部分更改为不同的值，特别是将Execute-Read修改为Read-Write-Execute。

02

CTF实战23 木马攻击技术

值得注意的是，木马屠城记并非于古希腊诗人荷马的两部著作伊利亚特与奥德赛里记载，而是在罗马帝国时期的诗人维吉尔所写的史诗《埃涅阿斯纪》中，才第一次被记载

02

shad0w原理分析 part 1

python3 shad0w.py beacon -p x64/windows/secure -H 192.168.1.81 -f exe -o beacon.exe

03

[原创]PC微信逆向分析のWeTool内部探秘

先不说微信在社交领域的霸主地位，我们仅从腾讯公司所透露的在研发微信过程中踩过的无数的坑，以及公开的与微信相关的填坑的源代码中，我们可以感受到，单从技术上讲，微信是一款非常伟大的产品。然而，伟大的产品，往往会被痴迷于技术的人送进实验室大卸八块，以参悟其伟大之所在！

00

编译错误CS1595

编译错误说明: 在编译向该请求提供服务所需资源的过程中出现错误。请检查下列特定错误详细信息并适当地修改源代码。编译器错误信息: CS1595: 已在多处定义“BigTeam.Security.Admin.Controls.UserLists_ascx”；使用“c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files\bbsx\9bf466b2\c521e5e7\assembly\dl2\fe062d3b\00900c07

09

windows-DLL注入「建议收藏」

DLL注入刚刚整理的代码注入(远程线程注入)现在整理这个DLL注入，DLL注入比较常用，相比远程代码注入DLL注入没有什么太多的限制，而且实现起来比较简单，当然远程线程需要注意的问题DLL很多情况都需要注意，这里不做重复，只说代码注入里面没有说过的部分。DLL注入的方式不唯一，比如你如果完全看懂了代码注入，那么你直接LoadLibrary地址和一个dll路径传进去然后在里面load一下就行了，也就是之前的代码注入完全可以实现dll注入，今天就说下一通常dll的注入方式吧，通常dll的注入比我刚刚说的那个方法还要简单，流程和代码注入差不多但是简单了很多，思路是这样，LoadLibrary这个函数所有的进程都是地址一样，我们直接获取LoadLibrary的地址，然后在CreateRemoteThread里面直接把这个地址作为线程地址传过去，然后参数就是我们已经拷贝到对方内存里的那个字符串，这样直接就跑起来了，非常简单，在DLL里想干什么就干什么，可以和本地写代码一样，然后还有一个问题，就是注意一下，dll在入口的switch里面的第一个分支直接调用你想干的事就行了，那个分支的意思就是说当dll被第一次载入的时候就自动执行了，OK就这么简单，如果你觉得没听懂，那么需要看我之前说的那个代码注入，这个里面只说了新的东西，还有就是dll注入应该注意的几个地方： 1.dll的入口记得就调用自己的函数，别走正当的流程，如果你非蛋疼的想调用某个指定函数，当然可以用代码注入结合dll注入的方式，但是然并卵。 2.注意系统问题，32exe+32dll注入32位程序，64exe+64dll注入64位程序。

02

Dll注入技术之劫持注入「建议收藏」

利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.

03

关闭反恶意软件保护（第 1 部分）-Windows Defender 防病毒

人们总是低估 Ring 3 的代码执行，因为它在网络攻击的情况下似乎毫无用处。反病毒代理通常会在恶意软件开始造成严重破坏之前将其击败，与在第 0 环中不同，攻击者只需覆盖回调和钩子并继续为所欲为。

02

WCF技术剖析之二：再谈IIS与ASP.NET管道

在2007年9月份，我曾经写了三篇详细介绍IIS架构和ASP.NET运行时管道的文章，深入介绍了IIS 5.x与IIS 6.0HTTP请求的监听与分发机制，以及ASP.NET运行时管道对HTTP请求的处理流程： [原创]ASP.NET Process Model之一：IIS 和 ASP.NET ISAPI [原创]ASP.NET Process Model之二：ASP.NET Http Runtime Pipeline - Part I [原创]ASP.NET Process Model之二：ASP.N

ring3层恶意代码实例汇总

之前一期我们学习了 IAT 的基本结构，相信大家对 C++ 有了一个基本的认识，这一期放点干货，我把 ring3 层恶意代码常用的编程技术给大家整理了一下，所有代码都经过我亲手调试并打上了非常详细的注释供大家学习，如下图:

00

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

IIS 5.x与ASP.NET

我们先来看看IIS 5.x是如何处理基于ASP.NET资源（比如.aspx,.asmx等）请求的，整个过程基本上可以通过图1体现。

02

BypassUAC

伪装进程的方式其实也可以算做借助了白名单，但是没有直接调用白名单进程，所以单独列出来了。

03

Bypass-UAC（用户帐户控制）的那些事

在本文中，我们将简要介绍一下用户帐户控制，即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。

02

C语言dll文件的说明以及生成、使用方法

06

webpack调优总结

webpack 的出现为前端开发带来翻天覆地的变化，无论你是用 React，Vue 还是 Angular，webpack 都是主流的构建工具。我们每天都跟它打交道，但却很少主动去了解它，就像写字楼里的礼仪小姐姐，既熟悉又陌生。随着项目复杂度的上升，打包构建的时间会越来越长。终于有一天，你发现npm run dev后，去泡个茶，上了个厕所，跟同事 bb 一轮后回到座位，项目还没构建完的时候，你就会下定决心好好了解下这个熟悉的陌生人。

02

一个病毒样本分析的全过程

SHA1: 3f738735bb0c5c95792c21d618eca8c0d5624717

00

如何使用SigFlip篡改身份认证码签名的PE文件

SigFlip是一款能够篡改经过身份认证码签名的PE文件（exe、dll、sys等）的工具，而且整个过程不会影响或破坏已有的身份认证码签名。换句话来说，就是我们可以使用SigFlip向PE文件中嵌入数据（比如Shellcode），并且再不会破坏文件签名、完整性检查或PE文件功能的情况下，修改PE文件的校验和或哈希。

04

用Go语言写一个Windows的外挂（上）

本人在一家互联网金融公司上班，对于一家互联网金融公司，最基本的功能就是客户入金和出金，而出金的稳定性是很重要的，出金不畅容易导致投资人恐慌，本文讲的是出金，出金接口我们对接的是招商银行的银企直联系统，那么银企直连系统是一个什么样的程序呢？

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭