隐藏模块(无模块注入)

最新推荐文章于 2020-12-03 11:10:07 发布
最新推荐文章于 2020-12-03 11:10:07 发布
阅读量3.2k 收藏 12
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/107958662
版权
本文介绍了两种模块隐藏方法,包括往自己的进程注入游戏主模块和往游戏进程注入自身主模块。方法一涉及修复IAT,方法二利用重定位表。代码示例展示了关键函数和完整项目的实现。
摘要由CSDN通过智能技术生成

模块隐藏那节课要求完成两个作业,都是隐藏模块,本文介绍两种方法分别如何实现。

方法一:往自己的进程注入游戏主模块

在这里插入图片描述

这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大的错误。
在这里插入图片描述
任务管理器中只会看到控制台的进程,看不到dbgview的进程:
在这里插入图片描述

所谓修复IAT,就是指,将游戏PE的IAT表修复成函数地址,做法也很简单,遍历IAT表,loadlibary获取dll句柄,然后遍历函数名或函数序号,一个个getprocaddress,将获取到的函数地址写入到IAT表就算修复好了。

下面是我的代码,我只给出关键的两个函数,一个是修复IAT表,一个是注入的函数,完整代码放在文章最后。

注入代码

// 将游戏模块注入到我的进程
// 修改ImageBase=0x20000000,使本程序在高地址运行
// 这种方式非常不推荐,因为游戏程序只要稍微大一些,就很可能无法在0x400000处申请内存了
void GameInjectMe()
{
   	
	if ((DWORD)GetModuleHandle(NULL) != (DWORD)0x20000000)
	{
   
		printf("当前进程句柄: 0x%X\n", (DWORD)GetModuleHandle(NULL));
		printf("请修改链接设置,将ImageBase设置为0x20000000\n");
		return;
	}
	// 读取游戏PE,拉伸,修复IAT,写入到其ImageBase处
	LPVOID pFileBuffer = NULL;
	//FileToMemory(TEXT("C:\\Documents and Settings\\nixiang\\桌面\\DTDebug(VT-O)专业版V1.0.025\\DTDebug\\DTDebug.exe"), &pFileBuffer);
	//FileToMemory(TEXT("c:\\program32\\Helloworld.exe"), &pFileBuffer);
	FileToMemory(TEXT("c:\\program32\\dbgview.exe"), &pFileBuffer);
	LPVOID pImageBuffer = NULL;
	DWORD dwImageSize = FileBufferToImageBuffer(pFileBuffer, &pImageBuffer);
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));		
	LPVOID pImageBase = VirtualAlloc((LPVOID)pOptionHeader->ImageBase, dwImageSize,MEM_COMMIT, PAGE_READWRITE);	
	if (pImageBase != (LPVOID)pOptionHeader->ImageBase)
	{
   
		printf("错误码:0x%X 在ImageBase(0x%X)处VirtualAlloc失败\n",GetLastError(),pOptionHeader->ImageBase);
		return;
	}
	// 修复IAT表
	RepairIAT(pImageBuffer);	
	memcpy(pImageBase, pImageBuffer, dwImageSize);
	
	// 跳转到游戏的入口点
	DWORD dwOEP = pOptionHeader->AddressOfEntryPoint + pOptionHeader->ImageBase;
	__asm{
   
		jmp dwOEP
	}	
}

修复IAT代码

// 传入一个imagebuffer,修复它的IAT表
void RepairIAT(LPVOID pImageBuffer)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
// 	PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pFileBuffer + \
// 		RvaToFoa(pFileBuffer, pOptionHeader->DataDirectory[1].VirtualAddress));
	PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImageBuffer + \
		pOptionHeader->DataDirectory[1].VirtualAddress);
	
	// 严格来说应该是 sizeof(IMAGE_IMPORT_DESCRIPTOR) 个字节为0表示结束
	while (pImportTable->OriginalFirstThunk || pImportTable->FirstThunk)
	{
   
		// 打印模块名
		//printf("%s\n", (LPCSTR)(pImportTable->Name + (DWORD)pImageBuffer));
		// 获取模块句柄
		HMODULE hModule = LoadLibraryA((LPCSTR)(pImportTable->Name + (DWORD)pImageBuffer));
		if (NULL == hModule)
		{
   
			printf("获取模块句柄失败,模块名: %s\n",(LPCSTR)(pImportTable->Name + (DWORD)pImageBuffer));
		}
		// 修复IAT表
		//printf("--------------FirstThunkRVA:%x--------------\n", pImportTable->FirstThunk);		
		PIMAGE_THUNK_DATA32 pThunkData = (PIMAGE_THUNK_DATA32)((DWORD)pImageBuffer + \
			pImportTable->FirstThunk);
		while (*((PDWORD)pThunkData) != 0)
		{
   
			// IMAGE_THUNK_DATA32 是一个4字节数据
			// 如果最高位是1,那么除去最高位就是导出序号
			// 如果最高位是0,那么这个值是RVA 指向 IMAGE_IMPORT_BY_NAME
			if ((*((PDWORD)pThunkData) & 0x80000000) == 0x80000000)
			{
   
				//printf("按序号导入 Ordinal:%04x\n", (*((PDWORD)pThunkData) & 0x7FFFFFFF));
				DWORD dwProcAddress = (DWORD)GetProcAddress(hModule,MAKEINTRESOURCE((*((PDWORD)pThunkData) & 0x7FFFFFFF)));				
				*((PDWORD)pThunkData) = dwProcAddress;
			}
			else
			{
   
				PIMAGE_IMPORT_BY_NAME pIBN = (PIMAGE_IMPORT_BY_NAME)(*((PDWORD)pThunkData) + \
					(DWORD)pImageBuffer);
				
				//printf("按名字导入 Hint:%04x Name:%s\n", pIBN->Hint, pIBN->Name);
				DWORD dwProcAddress = (DWORD)GetProcAddress(hModule,(LPCSTR)pIBN->Name);
				*((PDWORD)pThunkData) = dwProcAddress;
			}
			pThunkData++;
		}
		pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImportTable + sizeof(IMAGE_IMPORT_DESCRIPTOR));		
	}	
}

其实方法一的局限性我在博客开头已经分析过了,不过我想了一下发现,其实问题关键就是0x400000处可能会申请内存失败,实际上我们不需要非得在这个地方申请内存,而是可以在任意地方申请,然后根据重定位表,修复地址即可。而这种方式,在方法二里面用到了。

以上是第一种方法的做法,下面是第二种做法,往游戏里注入自己,然后跳转到入口函数:

方法二:往游戏进程注入自己的主模块

在这里插入图片描述
这种方式不需要手工修复IAT,因为自身进程启动时操作系统帮我们修复了,我们只需要修复重定位表即可。

原理上图已经解释的非常明白了,下面给出关键代码:
重定位表修复代码

// 修改 ImageBase 并修复重定位表
// 内存镜像版本
VOID SetNewImageBase2(LPVOID pImageBuffer, DWORD dwNewImageBase)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
	PIMAGE_BASE_RELOCATION pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pImageBuffer + \
		pOptionHeader->DataDirectory[5].VirtualAddress);
	DWORD dwImageBaseDelta = dwNewImageBase - pOptionHeader->ImageBase; // 新旧ImageBase 的差值	
	
	// 重定位表的 VirtualAddress + 低12位偏移 = RVA
	// RVA + ImageBase 这个内存里存储了一个“指针”
	// 要修改的是这个“指针”的值,要让这个“指针”加上两个ImageBase的差值
	while (pRelocationTable->VirtualAddress || pRelocationTable->SizeOfBlock)
	{
   
		size_t n = (pRelocationTable->SizeOfBlock - 8) / 2; // 可能需要修改的地址数量(高4位==0011才要修改)
		PWORD pOffset = (PWORD)((DWORD)pRelocationTable + 8); // 2字节偏移的数组
		for (size_t i = 0; i < n; i++)
		{
   
			// 高4位等于0011才需要重定位
			if ((pOffset[i] & 0xF000) == 0x3000)
			{
   
				// 计算需要重定位的数据的RVA地址
				DWORD dwRva = pRelocationTable->VirtualAddress + (pOffset[i] & 0x0FFF);				
				// 计算在镜像中的地址
				PDWORD pData = (PDWORD)((DWORD)pImageBuffer + dwRva);
				// 重定位,即修正写死的地址				
				*pData &#
最低0.47元/天 解锁文章
hambaga
关注
模块隐藏
diheqiu3577的博客
07-07 343
1.模块隐藏之断链   TEB它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB.             MOV eax,fs:[0]    2.  PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB;             MOV eax,fs:[0x30]             mov ...
驱动无模块注入dll
最新发布
鬼手的博客
12-10 9789
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
隐藏进程模块
04-05
隐藏进程模块亲测可以用 win10不支持。。。。。。。。。。。。
内存无模块注入DLL易语言源码
09-19
将自身的功能DLL加载进资源中,然后编译成为注入DLL,然后把注入DLL注入到指定的程序中,该注入DLL就会把你的功能DLL采用重定位的方式注入到进程中,并把注入DLL自身卸载,实现无API无ldr无vad记录注入。最有效化...
易语言DLL隐藏模块
07-18
在易语言中,DLL(Dynamic Link Library)隐藏模块是一个常见的技术实践,用于实现某些特定功能,如保护代码、隐藏执行过程或者提高软件的安全性。 DLL隐藏模块的原理是将程序的关键功能封装到一个单独的动态链接库...
易语言 win7 64位隐藏进程模块,保护进程模块
05-26
易语言隐藏进程模块支持WIn7 64位,保护进程 ,防破解,防注入,防Ce,WPE
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
基于visual c++之windows核心编程代码分析(63)无模块dll进程注射
weixin_30691871的博客
01-24 121
我们在信息安全编程的时候经常需要进行dll进程注入,我们在编程中如何实现呢。需要引用Psapi.Lib,具体可以百度下载之。其头文件如下,odule Name: psapi.h Abstract: Include file for APIs provided by PSAPI.DLL Author: Richard Shupak [richards] 0...
隐藏任意进程模块
01-20
易语言隐藏任意进程模块,编译后可用!本模块不得修改版权,可任意传播!
易语言无模块输入法注入
08-15
模块输入法注入 很多人想要的 源码程序 内带输入法 易语言编写 仅仅采用核心库+API
UnModule_shellcode_Inject:无模块注入工程 VS2008
04-29
=====================ShellCodeFrame_x64 ================ ShellCodeFrame_x64 工程介绍 项目详细介绍,查看“Windows平台下高级Shellcode编程技术.doc” 这是一个使用VS2008生成的编写x64位shellcode的框架。 在shellcode主代码中,按照内存对齐大小,将dll在内存中进行展开,修复导入表,修复重定位,根据导出表,寻找dll中函数的地址,调用指定dll的函数。 =====================UnModuelInject================ 使用生成的shellcode对静态dll进行无模块注入 配置 x64 插入汇编的VS环境。 ==============ShellCodeFrame_x86 工程介绍=========== 生成x86平台的shellcod
易语言远程注入无需模块
05-29
这这个资源我自己没有看懂,需要大家来看看,看的不是很明白就是了
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流 QQ:22353017
源码解析DLL自卸载无模块注入
燕十二的BLOG
11-14 6102
对windows安全比较熟悉的同学对模块注入应该都比较了解,很多病毒、木马、外挂都会用到,无模块注入应用得则比较少。      无模块注入的好处是DLL注入进去后,确实已经不以模块的形式存在了,用任何进程模块查看工具,都找不到注入进去的DLL。因为它已经变为一块纯堆内存,跟EXE主模块里申请的堆没有任何差别。      这里讲的一种无模块注入的方法,能够让DLL自身实现这样的功能,无需外部
易语言无模块注入_[笔记]利用JVM SandBox注入异常
weixin_39874379的博客
11-23 723
题记:大名鼎鼎的ChaosBlade(混沌工具)和 jvm-sandbox-repeater(无侵入录制回放工具)底层都是基于JVM SandBox。JVM SandBox 使用起来非常很简单,但是 JVM SandBox 背后所涉及到的底层技术原理、实现细节却不简单,比如 Java Agent、Attach、JVMTI、Instrument、Class 字节码修改、ClassLoade...
易语言无模块注入_Java Web初学者探索学习笔记9—动态通用模块设计实现
weixin_39769675的博客
12-03 314
鉴于整体框架仍采用MVC的三层开发模式,动态通用模块的实现也脱离不开MVC的基本要求。一、动态的通用登录模块设计第一步:建立模块包结构,采用通用的mvc框架包结构设计。第二步:创建基础数据库,鉴于微服务体系的分布式解决思路,当前数据库单独成库。create database login; use login;其中主要需要设计1张表即可,但该表与其他表有关联,暂时将有关联的4张表同时设计出来。分别包...
模块注入示例
StanfordZhang的专栏
09-21 3149
原出处不详,作者见谅。 #include typedef struct _REMOTE_PARAMETERS { HWND hwnd; LPSTR lpszText; LPSTR lpszCaption; int nType; }REMOTE_PARAMETERS,*PREMOTE_PARAMETERS; //提升权限 BOOL GetdebugPrivilege() { BOOL
利用DLL注入隐藏进程的技术解析
1. 获取当前模块(即包含注入代码的程序)的完整路径,以便找到DLL的位置。这可以通过`GetModuleFileNameW`函数完成。 2. 将DLL的名称改为"TagetDll.DLL",这是为了在目标进程中加载时使用。 3. 使用`GetProcAddress...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值