4.PEB断链隐藏模块

最新推荐文章于 2024-07-25 11:55:38 发布
最新推荐文章于 2024-07-25 11:55:38 发布
阅读量1.4k 收藏 11
点赞数 1
分类专栏: 驱动 文章标签: 驱动程序 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/109260609
版权

0x4 PEB断链隐藏模块

1.如何找到_PEB_LDR_DATA

由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA
在这里插入图片描述
在这里插入图片描述

2.基础知识

_LDR_DATA_TABLE_ENTRY结构

ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY//_PEB_LDR_DATA的第一个_LIST_ENTRY结构指向这里
   +0x008 InMemoryOrderLinks : _LIST_ENTRY//_PEB_LDR_DATA的第二个_LIST_ENTRY结构指向这里
   +0x010 InInitializationOrderLinks : _LIST_ENTRY//_PEB_LDR_DATA的第三个_LIST_ENTRY结构指向这里
   +0x018 DllBase          : Ptr32 Void//DLL基址
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING//带路径的dll的名称
   +0x02c BaseDllName      : _UNICODE_STRING//dll的名称
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 _ACTIVATION_CONTEXT
   +0x04c PatchInformation : Ptr32 Void
   +0x050 ForwarderLinks   : _LIST_ENTRY
   +0x058 ServiceTagLinks  : _LIST_ENTRY
   +0x060 StaticLinks      : _LIST_ENTRY
   +0x068 ContextInformation : Ptr32 Void
   +0x06c OriginalBase     : Uint4B
   +0x070 LoadTime         : _LARGE_INTEGER

_PEB_LDR_DATA结构

typedef struct _PEB_LDR_DATA
{
   
	ULONG Length; // +0x00
	BOOLEAN Initialized; // +0x04
	PVOID SsHandle; // +0x08
	LIST_ENTRY InLoadOrderModuleList; // +0x0c  加载顺序
	LIST_ENTRY InMemoryOrderModuleList; // +0x14 在内存中的顺序
	LIST_ENTRY InInitializationOrderModuleList;// +0x1c 初始化装载顺序
	PVOID EntryInProgress;	// +0x24
} PEB_LDR_DATA,*PPEB_LDR_DATA;

_LIST_ENTRY结构

typedef struct _LIST_ENTRY {
   
   struct _LIST_ENTRY *Flink;
   struct _LIST_ENTRY *Blink
最低0.47元/天 解锁文章
Mikasys
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PEB断链
hongduilanjun的博客
03-18 2049
断链这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB断链在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB断链 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEBPEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
利用C++ R3层断链实现模块隐藏功能
08-25
总结来说,C++ R3层断链实现模块隐藏主要是通过对PEBPEB_LDR_DATA结构体的操纵,断开模块在链表中的链接,从而实现模块的隐形。这是一种高级的系统编程技巧,需要深入理解Windows内核机制才能正确应用。
jeecgboot的autopoi模板导出的写法
新手是谁?
10-02 2520
不废话,直接贴代码 1.在 jeecg-boot/jeecg-boot-module-system/src/main/resources文件夹下建立模板文件夹,本文用的是“exportTemplate”,如下图。 2.模板按官方教程的写法弄好。 3.开始正式代码 3.1 获取模板文件的函数 public static TemplateExportParams getTemplateParams(String name){ return new TemplateExportParams
PEB隐藏模块
09-03
PEB隐藏模块PEB
驱动断链 修改模块信息实现隐藏
qq_41490873的博客
04-19 639
#include "ntddk.h" HANDLE hThread; VOID DriverUnload(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动卸载成功\n"); } VOID ThreadRun( PVOID StartContext) { LARGE_INTEGER times; PDRIVER_OBJECT pDriverObje...
修改PEB,断链隐藏模块成功
weixin_34319999的博客
06-24 385
修改PEB,断链隐藏模块成功 继续实践之前的想法,就是断掉如下这个结构中的双向链表: typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY...
[Rootkit] 修改 peb 隐藏 dll(断链
LYSM
04-16 696
原理 PEB 中有一个成员 Ldr: typedef struct _PEB { UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG ImageUsesLargePages: 1; ULONG IsProtectedProcess: 1; ULONG IsLegacyProcess:
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
本文将深入探讨标题“MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏”所涉及的知识点,包括PEB(Process Environment Block)、PEB模块隐藏、VAD(Virtual Address Descriptor)以及进程隐藏技术。 首先,PEB...
DLLHiding:使用 PEB 隐藏 x32x64 ModulesDLL
05-31
使用 PEB 隐藏 x32/x64 模块 ##Summary 一个简单的命令行应用程序,用于在任何 Windows 进程中隐藏 DLL。 适用于 x32 和 x64 进程。 它应该适用于从 Windows XP 到 Windows 8 的所有平台。目前仅在 Windows 7 上...
进程隐藏断链隐藏例子-易语言
06-12
通过断链方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败
易语言源码易语言DLL隐藏模块源码.rar
02-17
易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar
易语言进程隐藏模块
09-07
隐藏进程,防止被检测,过保护. 隐藏进程,防止被检测,过保护.
0环PEB断链
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-08 294
在操作系统层面上,进程本质上就是一个结构体,当操作系统想要创建一个进程时,就分配一块内存,填入一个结构体,并为结构体中的每一项填充一些具体值。结构的地址,但是这里注意,因为这个结构的地址是指向下一个链表的地址,所以如果要得到。这个链表跟进程隐藏有关,只要我们把想要隐藏进程对应的。结构,但指向的并不是EPROCESS的首地址,而是每一个进程的。它是双向链表,所有的活动进程都连接在一起,构成了一个链表。的链断掉,就可以达到在0环进程隐藏的目的。进程,这里0x88偏移存放的就是下一个。前四个字节指向的是下一个。
利用PEB隐藏进程模块
m0_52333150的博客
02-02 292
PEB模块隐藏
模块隐藏断链
最新发布
m0_51681331的博客
07-25 378
关于断链的笔记
模块隐藏(LDR_MODULE链 与 PE特征)
零点起步
04-14 7608
比较常见的模块隐藏方法有抹去模块的PE头,断开进程的LDR_MODULE链,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
修改PEB实现断链隐藏DLL
做一个快乐学习者
09-01 1532
void HideModule(void* pModule) { void* pPEB = nullptr; _asm { push eax mov eax,fs:[0x30] mov pPEB,eax pop eax } void* pLDR = *((void**)((unsigned char*)pPEB + 0xc)); void* pCurrent = ...
利用TEB和PEB在3环 断链模块 遍历模块
qq_41490873的博客
05-02 749
nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //UniqueProcess UniqueThread 进程ID +4 线程ID +0x028 ActiveRpcHan...
通过PEB遍历进程模块(x64/wow4)
05-12
PPEB_LDR_DATA pLdrData = peb.LoaderData; if (pLdrData == NULL) { std::cout !" ; return; } PLIST_ENTRY pListHead = &pLdrData->InMemoryOrderModuleList; PLIST_ENTRY pListEntry = pListHead->Flink...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值