通过读写PEB.Ldr实现模块枚举和模块隐藏(脱链)

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量2.8k 收藏 8
点赞数 5
分类专栏: PE 免杀攻防 软件保护 文章标签: PE C dll隐藏 dll遍历 免杀攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DontBeProud/article/details/77924371
版权
PE 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
免杀攻防
1 篇文章 0 订阅
订阅专栏
软件保护
1 篇文章 0 订阅
订阅专栏

·获取PEB_LDR_DATA

 

      关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEB,PEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEB、PEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60]获取PEB,而x86下通过fs[0x30]。用WinDbg查看结构体,对照如下:

                                               x64                                                                    x86

 TEB              

          

 

 PEB              

          

 

 

PEB_LDR_DATA              

 

           

 

    从上面几张图,可以很直观地看出x86和x64环境下的各成员偏移有很大的不同,但是获取PEB_LDR_DATA的思路是完全相同的,即TEB - PEB - PEB.Ldr (指向PEB_LDR_DATA的指针)-> PEB_LDR_DATA。

 

·获取其他进程的PEB_LDR_DATA

    

    1.读取其他进程的内存信息需要先获取其进程句柄,句柄可以通过OpenProcess函数获得,在此之前还需要获得这个进程的PID,作为OpenProcess的参数。获取PID的方法在此不多赘述。

    2.使用未公开的函数NtQueryInformationProcess,使用这个函数首先要包含Winternl.h这个头文件,并且从ntdll.dll中动态获取函数地址。具体步骤如下:

      首先按照NtQueryInformationProcess的参数格式创建函数指针My_Query_Information_Process。具体信息参照MSDN:https://msdn.microsoft.com/zh-cn/library/windows/desktop/ms684280(v=vs.85).aspx

 

#include <Winternl.h>
typedef NTSTATUS(WINAPI * MY_QUERY_INFORMATION_PROCESS)    
(__in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, 
	__out PVOID ProcessInformation, __in ULONG ProcessInformationLength, 
	__out_opt  PULONG ReturnLength);

 

 

 

        接着通过GetModuleHandle获取ntdll.dll的模块基址,并使用GetProcAddress获得NtQueryInformationProcess的函数地址然后将返回值赋值给My_Query_Information_Process(demo中不考虑返回值为NULL的情况)。

 

MY_QUERY_INFORMATION_PROCESS NtQueryInformationProcess = 
	(MY_QUERY_INFORMATION_PROCESS)(GetProcAddress(GetModuleHandle("ntdll"), 
			                           "NtQueryInformationProcess"));

    

 

       定义info和ReturnSize作为函数参数传入,其中info用于保存进程信息。PROCESS_BASIC_INFORMATION结构体的定义可在Winternl.h中查看。

PROCESS_BASIC_INFORMATION info;	//保存进程信息
ULONG ReturnSize;
NtQueryInformationProcess(Handle, ProcessBasicInformation, &info, 
		          sizeof(PROCESS_BASIC_INFORMATION), &ReturnSize);

 

    

    在PROCESS_BASIC_INFORMATION结构体中的指针成员PebBaseAddress指向进程的PEB基址。


     获取了PEB,即意味着获得了Ldr指针,获得了Ldr,PEB_LDR_DATA还会远吗?代码如下,首先根据目标程序是x86还是x64来动态赋值offset,接着使用ReadProcessMemory读取进程addrpoint处的值,即PEB_LDR_DATA地址。

 

 

//通过进程信息中的pebbaseaddress获取PEB基址,进而获取指定进程内存空间中PEB_LDR_DATA的地址
DWORD offset = IsX86() ? 0xc : 0x18;//根据目标进程是x86还是x64程序,动态赋值
DWORD addrpoint = (DWORD)info.PebBaseAddress + offset; //addrpoint等于Ldr,是指向PEB_LDR_DATA的指针
DWORD ldraddr=0;
ReadProcessMemory(Handle, (LPCVOID)addrpoint, &ldraddr, sizeof(DWORD), NULL);//读取PEB_LDR_DATA的地址

 

 


·理解并充分利用PEB_LDR_DATA中最重要的3条双向链表

    

          无论在x86程序中,还是在x64程序中,PEB_LDR_DATA这个结构体的成员顺序是固定的,而其中最重要的则是下图中的3条链表(_LIST_ENTRY就是双向链表,成员为前驱节点FLink和后驱节点BLink)。另外,以左图为例,因为结构体成员对齐,所以虽然UChar的大小为1字节,但Initialized占用4个字节,右图亦然,好吧跑题了。

 

 

 

 

          PEB_LDR_DATA中的3个链表可以理解为是3个连续的_LIST_ENTRY结构体的拷贝,而这3个_LIST_ENTRY本体是另一个结构体LDR_DATA_TABLE_ENTRY的前3个成员。关系较复杂,用图来描述更加直观。如下图。

      整体的关系如下:

      InLoadOrderModuleList的地址是每一组链表的起始地址,同时也是对应的LDR_DATA_TABLE_ENTRY的起始地址,所以我们可以通过循环遍历双向链表InLoadOrderModuleList来遍历LDR_DATA_TABLE_ENTRY,并从中获取我们需要的模块信息。

      既然LDR_DATA_TABLE_ENTRY中的3个核心双向链表均存储于可读可写的内存区域,那么通过修改内存实现反模块枚举是完全可行的。具体方法为循环遍历LDR_DATA_TABLE_ENTRY结构体,直至结构体成员BaseDllName与需要隐藏的Dll模块名相同,然后将前驱节点的BLink指向后驱节点,将后驱节点的FLink指向前驱节点,这样在循环链表中此dll便完成了脱链隐藏。

       用代码实现隐藏当前进程中的模块非常容易,隐藏其他进程中模块的代码稍微复杂一些,需要反复地调用ReadProcessMemory和WriteProcessMemory函数。下面是隐藏其他进程中模块的关键代码:

 

//双向链表结构
PLIST_ENTRY Referpoint = new LIST_ENTRY;//参照点
ReadProcessMemory(Handle, (LPCVOID)(ldraddr + 0xc), Referpoint, sizeof(LIST_ENTRY), NULL);
PLIST_ENTRY temp = Referpoint; // 沿着链表前向遍历直至与参照点重合

//获取ldrdatatable
LDR_DATATABLE_ENTRY* ldrtable = new LDR_DATATABLE_ENTRY;
WCHAR * varname = new WCHAR[strlen(name) + 1];//存储当前遍历到的模块名的前strlen(name)个字符
varname[strlen(name)] = '\0';
for (int i = 0; i < dllnum; i++)
{
	ReadProcessMemory(Handle, (LPCVOID)temp->Flink, ldrtable, sizeof(LDR_DATATABLE_ENTRY), NULL);
	memset(varname, '\0', strlen(name) + 1);
	ReadProcessMemory(Handle, (LPCVOID)ldrtable->BaseDllName.Buffer, varname, sizeof(WCHAR)*strlen(name), NULL);
	//若模块名相同
	if (strncmp(name, wide2char(varname), strlen(name)) == 0)//对比前strlen(name)个字符
	{
		//断链
		//blink->flink=blink(地址)
		char *addr = (char*)&ldrtable->InLoadOrderLinks.Flink;		//保存用于写入的数据
		WriteProcessMemory(Handle, (LPVOID)ldrtable->InLoadOrderLinks.Blink, addr, 4, NULL);


		addr = (char*)&ldrtable->InMemoryOrderLinks.Flink;
		WriteProcessMemory(Handle, (LPVOID)ldrtable->InMemoryOrderLinks.Blink, addr, 4, NULL);


		addr = (char*)&ldrtable->InInitializationOrderLinks.Flink;
		WriteProcessMemory(Handle, (LPVOID)ldrtable->InInitializationOrderLinks.Blink, addr, 4, NULL);


		//flink->blink=flink+4
		addr = (char*)&ldrtable->InLoadOrderLinks.Blink;
		WriteProcessMemory(Handle, (LPVOID)((DWORD)ldrtable->InLoadOrderLinks.Flink + 4), addr, 4, NULL);


		addr = (char*)&ldrtable->InMemoryOrderLinks.Blink;
		WriteProcessMemory(Handle, (LPVOID)((DWORD)ldrtable->InMemoryOrderLinks.Flink + 4), addr, 4, NULL);


		addr = (char*)&ldrtable->InInitializationOrderLinks.Blink;
		WriteProcessMemory(Handle, (LPVOID)((DWORD)ldrtable->InInitializationOrderLinks.Flink + 4), addr, 4, NULL);

		//内存释放
		delete temp;
		delete Referpoint;
		delete[]varname;
		delete[]name;
		return;
	}
	//获取当前地址:先获取后一个节点的地址,再获取后一个节点的前向节点地址,即ldrtable当前指向的地址。
	ReadProcessMemory(Handle, (LPCVOID)ldrtable->InLoadOrderLinks.Blink, temp, sizeof(LIST_ENTRY), NULL);
	ReadProcessMemory(Handle, (LPCVOID)temp->Flink, temp, sizeof(LIST_ENTRY), NULL);
}

 

 


····················································································

 

 

 

 

     隐藏模块对99%的人没有用处,隐藏其他进程的模块这个功能对99.99%的人没任何用处。剩下的1%或0.01%,一定知道这种雕虫小技需要配合其他操作才能真正起到隐藏保护的作用。例如:

            1.动态加载待隐藏的dll,至少杜绝通过静态分析查dll宿主文件导入表就能查出dll的情况。

            2.重写API,如loadlibrary,防止被hook或API断点跟踪。

            3.消除模块内存中的PE特征,如“MZ”标、PE头标,防止被枚举有效模块内存。

            4.如何过ZwQueryVirtualMemory和内核层ARK,仍在学习与思考中,有一定知识积累后再回来完善本文。

 

     附上以前写的小程序(管理员模式运行,仅对x86程序有效,x64版本有空会补上)。

     效果图:

隐藏前

多次隐藏后

 

                                                                      

             链接:http://pan.baidu.com/s/1cnlg9S 密码:13e8                         

                                                                                                    

 

 

 

                                                                                                                                        

DontBeProud
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用C++ R3层断链实现模块隐藏功能
08-25
在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。本文重点给大家介绍利用C++ R3层断链实现模块隐藏功能,感兴趣的朋友一起看看吧
PEB隐藏模块
09-03
PEB隐藏模块PEB
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
PEB-------------模块链表Ldr
weixin_30316097的博客
07-30 705
一、xp下peb结构 kd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutan...
32位进程枚举64位进程模块信息
06-02
资源介绍:。' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面。' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,。' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!。资源作者:。@iokey。资源下载:。Tags:64位进程。
32位 64位 获得进程peb的方法
aijuzhou1959的博客
02-14 498
基于上一篇文章,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
进程中dll模块隐藏
08-18 2552
http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。          我们可
通过PEBLdr枚举进程内所有已加载的模块
cqyczj的专栏
04-25 1315
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY   二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEBLdr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleLi
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 1478
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
PEB模块隐藏是通过篡改PEB中的InInitializationOrderModuleList和InLoadOrderModuleList等链表,将恶意模块从进程的模块列表中移除,达到隐藏的目的。这种技术需要对Windows内核有深入理解,并且通常需要编写驱动...
易语言EnumerateLoadedModules枚举进程模块
07-20
易语言EnumerateLoadedModules枚举进程模块源码,Callback,GetCurrentProcessId,EnumerateLoadedModules,OpenProcess
进程模块查看器,支持32位和64位进程
11-18
- **PEB_LDR_DATA** 包含了加载的模块列表,分为InLoadOrderModuleList、InMemoryOrderModuleList和InInitializationOrderModuleList三个链表,分别按照模块的加载顺序、内存地址和初始化顺序排列。进程模块查看器...
枚举PEB获取进程模块列表
08-11 202
枚举进程模块的方法有很多种,常见的有枚举PEB和内存搜索法,今天,先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先,惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出,各位看官根据情况自行添加。 [cpp] view plain copy print? typedefP...
TEB,PEB,LDR结构
yeanhoo的博客
10-15 1999
首先查看TEB所在地址 接着查看teb结构 图中,TEB结构中第一个成员为TIB结构,从偏移量可以看出从0x00到0x1C之间的内容均为TIB结构的成员,那么我们来查看TIB结构 ...
通过PEB枚举Kernel32.dll基址
yjz1409276的专栏
12-12 313
kd&gt; !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS fffffa801a89e060 SessionId: 1 Cid: 026c Peb: 7fffffd3000 ParentCid: 0200 DirBase: 66362000 ObjectTable: fffff8a00111c4d0 Ha...
64位系统应用层获取peb
Tommy(凌飞)的专栏
12-06 6228
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取到peb的地址。大家不妨试试,直接将
yolo-fastest.zip
最新发布
07-28
yolo-fastest
_PEB_LDR_DATA
04-23
_PEB_LDR_DATA是Windows操作系统中的一个数据结构,它是PEB(Process Environment Block,进程环境块)中的一个成员。PEB是每个进程独有的数据结构,用于存储进程的运行时信息。 _PEB_LDR_DATA结构体用于管理进程加载的模块DLL)信息。它包含了一个双向链表,用于链接所有已加载的模块。每个节点表示一个已加载的模块,包含了模块的基址、入口点等信息。 _PEB_LDR_DATA结构体的定义如下: ``` typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; PVOID EntryInProgress; } PEB_LDR_DATA, *PPEB_LDR_DATA; ``` 其中,`InLoadOrderModuleList`表示按照模块加载顺序的链表,`InMemoryOrderModuleList`表示按照模块在内存中的顺序的链表,`InInitializationOrderModuleList`表示按照模块初始化顺序的链表。 通过_PEB_LDR_DATA结构体,可以遍历进程加载的所有模块,获取模块的基址、入口点等信息,从而实现模块的管理和操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值