DLL劫持技术原理与实现方法

现在破解软件都挺流行用lpk.dll这种DLL劫持方式，简单的说一下DLL劫持技术原理和实现方法。

可以劫持的DLL很多，这里就以lpk.dll为例子。

文章分为两部分：

        一、纯理论的DLL劫持原理

        二、纯实践的实现方法

一、DLL劫持原理

引用

DLL劫持原理

--------------------------------------------------------------------------------

　　DLL劫持技术当一个可执行文件运行时，Windows加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，并将它们映射到进程的地址空间中。

　　由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果没找到，则在Windows系统目录中查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的DLL，提供同样的输出表，每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL，完成相关功能后，再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持（hijack）了。

　　伪造的dll制作好后，放到程序当前目录下，这样当原程序调用原函数时就调用了伪造的dll的同名函数，进入劫持DLL的代码，处理完毕后，再调用原DLL此函数。

　　这种补丁技术，对加壳保护的软件很有效，选择挂接的函数最好是在壳中没有被调用的，当挂接函数被执行时，相关的代码已被解压，可以直接补丁了。在有些情况下，必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测，很适合加壳程序的补丁制作。

　　一些木马或病毒也会利用DLL劫持技术搞破坏，因此当在应用程序目录下发现系统一些DLL文件存在时，如lpk.dll，应引起注意。

程序自动调用DLL步骤:

        1、程序执行将自动调用某个DLL文件，程序只指明了DLL文件名而没有指明具体路径

        2、程序会首先在程序运行目录寻找需要加载的DLL文件，找到便加载，没有找到进行第三步

        3、去系统目录寻找，找到加载， 没找到，到下一个地方寻找

我们需要做的：

        1、我们伪造一个程序自动调用的DLL文件，放在程序同一个目录下，例如：lpk.dll

        2、等程序运行来调用我们伪造的DLL

程序一旦调用了，剩下的就是你想把那个程序怎么办就怎么办了。