LDR断链 隐藏DLL(转载)

最新推荐文章于 2024-07-25 11:55:38 发布
最新推荐文章于 2024-07-25 11:55:38 发布
阅读量1k 收藏
点赞数
原文链接:https://blog.csdn.net/yoie01/article/details/11696295
版权

    typedef struct _LSA_UNICODE_STRING {
        USHORT Length;
        USHORT MaximumLength;
        PWSTR  Buffer;}
    UNICODE_STRING, *PUNICODE_STRING;
     
    typedef struct _PEB_LDR_DATA
    {
        DWORD Length; // +0x00
        bool Initialized; // +0x04
        PVOID SsHandle; // +0x08
        LIST_ENTRY InLoadOrderModuleList; // +0x0c
        LIST_ENTRY InMemoryOrderModuleList; // +0x14
        LIST_ENTRY InInitializationOrderModuleList;// +0x1c
    } PEB_LDR_DATA,*PPEB_LDR_DATA; // +0x24
     
    typedef struct _LDR_MODULE
    {
        LIST_ENTRY          InLoadOrderModuleList;
        LIST_ENTRY          InMemoryOrderModuleList;
        LIST_ENTRY          InInitializationOrderModuleList;
        void*               BaseAddress;
        void*               EntryPoint;  
        ULONG               SizeOfImage;
        UNICODE_STRING   FullDllName;
        UNICODE_STRING      BaseDllName;
        ULONG               Flags;
        SHORT               LoadCount;
        SHORT               TlsIndex;
        HANDLE              SectionHandle;
        ULONG               CheckSum;
        ULONG               TimeDateStamp;
    } LDR_MODULE, *PLDR_MODULE;
     
    //需要隐藏的DLL句柄
    void hide_module(HMODULE hMod)  
    {  
        PLIST_ENTRY Head,Cur;  
        PPEB_LDR_DATA ldr;  
        PLDR_MODULE ldm;  
        __asm  
        {  
            mov eax , fs:[0x30]  
            mov ecx , [eax + 0x0c] //Ldr  
            mov ldr , ecx  
        }  
        Head = &(ldr->InLoadOrderModuleList);  
        Cur = Head->Flink;  
        do  
        {  
            ldm = CONTAINING_RECORD( Cur, LDR_MODULE, InLoadOrderModuleList);  
            if( hMod == ldm->BaseAddress)  
            {  
                ldm->InLoadOrderModuleList.Blink->Flink =  
                ldm->InLoadOrderModuleList.Flink;  
                ldm->InLoadOrderModuleList.Flink->Blink =  
                ldm->InLoadOrderModuleList.Blink;   
                ldm->InInitializationOrderModuleList.Blink->Flink =  
                ldm->InInitializationOrderModuleList.Flink;  
                ldm->InInitializationOrderModuleList.Flink->Blink =  
                ldm->InInitializationOrderModuleList.Blink;    
                ldm->InMemoryOrderModuleList.Blink->Flink =  
                ldm->InMemoryOrderModuleList.Flink;  
                ldm->InMemoryOrderModuleList.Flink->Blink =  
                ldm->InMemoryOrderModuleList.Blink;    
                break;  
            }  
            Cur= Cur->Flink;   
        }while(Head != Cur);  
    }


直接拿去就可用

引用下windows头就可以了
---------------------
版权声明:本文为CSDN博主「Yoie」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/yoie01/article/details/11696295

Shirley068
关注
二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见断链隐藏DLL方法)
Koma的主页
03-03 1370
目前,比较常见的模块隐藏方法有抹去模块的PE头、断开进程的LDR_MODULE链或者Hook模块枚举函数等,这里介绍前面抹去PE头、断链的方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
从进程链表中摘除指定进程
模块隐藏断链
最新发布
m0_51681331的博客
07-25 435
关于断链的笔记
LDR断链 隐藏DLL
IT男也疯狂
09-14 6782
typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING, *PUNICODE_STRING; typedef struct _PEB_LDR_DATA { DWORD Length; // +0x00 bool Initialize
易语言DLL隐藏模块
08-16
易语言DLL隐藏模块源码 系统结构:Hide,文本_字节集到文本,lstrcpyn_字节集, ======Hide_My_Dll_Library | | | |------ _启动子程序 | | | |------ _临时子程序 | | | |------ Hide | | | |------ 文本_字节集到文本
易语言-进程隐藏断链隐藏易语言例程
06-25
通过断链方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败,具体原因,相信大家都明白
c语言断链隐藏dll,利用C++ R3层断链实现模块隐藏功能
weixin_39765840的博客
05-20 1323
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传...
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
"HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动"这个主题涉及到的是驱动程序的安全性和隐藏技术,特别是在对抗动态调试工具如TP(Taint Parser)时的策略。 驱动隐藏是一种技术,用于防止恶意用户或...
利用C++ R3层断链实现模块隐藏功能
08-25
总结来说,C++ R3层断链实现模块隐藏主要是通过对PEB和PEB_LDR_DATA结构体的操纵,断开模块在链表中的链接,从而实现模块的隐形。这是一种高级的系统编程技巧,需要深入理解Windows内核机制才能正确应用。
4.PEB断链隐藏模块
Mikasys的博客
10-25 1544
0x4 PEB断链隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
易语言-易语言DLL隐藏模块
06-29
易语言DLL隐藏模块源码例程程序结合易语言模块内存加载PE模块.ec,调用API函数实现DLL内存隐藏调用功能。 易语言学习网
易语言DLL隐藏模块源码
05-27
资源介绍:。易语言DLL隐藏模块源码例程程序结合易语言模块内存加载PE模块.ec,调用API函数实现DLL内存隐藏调用功能。资源作者:。易语言学习网。
易语言源码易语言DLL隐藏模块源码.rar
02-17
易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar易语言源码易语言DLL隐藏模块源码.rar 易语言源码易语言DLL隐藏模块源码.rar
易语言实现DLL的注入 与 隐藏源码-易语言
06-12
易语言实现DLL的注入 与 隐藏源码
隐藏DLL模块( HideDll)
weixin_33859665的博客
07-05 3556
void HideDll() { HMODULE hMod = ::GetModuleHandle("MyHook.dll"); PLIST_ENTRY Head,Cur; PPEB_LDR_DATA ldr; PLDR_MODULE ldm; __asm { mov eax , fs:[0x30] ...
进程中dll模块的隐藏
08-18 2589
http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。          我们可
易语言枚举句柄关闭进程DLL模块
07-18
易语言枚举句柄关闭进程DLL模块源码,枚举句柄关闭进程DLL模块,GetProcessIdByProcessHandle,TerminateProcessByJob,OpenProcessByFuckHandle
LDR6023:USB PD通信芯片技术详解
"LDR6023是一款专为USB Type-C标准设计的双USB-C DRP接口USB PD通信芯片,适用于Docking站和HUB应用。它支持USB PD 2.0并兼容3.0标准,能进行Power Negotiation数据包透传、Data Role切换,并通过VDM协商实现智能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值