如何隐藏导入表

最新推荐文章于 2024-01-24 16:10:00 发布
最新推荐文章于 2024-01-24 16:10:00 发布
阅读量980 收藏 1
点赞数 1
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dybb8999/article/details/78506737
版权
本文探讨了如何隐藏PE文件的导入表,通过修改PE结构并利用LdrLoadDll函数动态加载DLL。通过研究PEB和LDR_DATA_TABLE_ENTRY结构,找到了在没有导入表的情况下调用DLL函数的方法。然而,这种方法在不同操作系统环境下可能存在兼容性问题。
摘要由CSDN通过智能技术生成

当有人问我这个问题的时候,我真的是一脸懵逼,我只知道编译的时候尽量少的引用dll可以减少导入表的量。

后来尝试一个正常的程序,将PE结构的导入表大小和位置全部设置为0:
该程序只负责调用MessageBox(实际是MessaheBoxW,或者MessageBoxA,但是大家都懂,不作区分):
这里写图片描述

正常的导入表

将导入表RVA和大小设置为0

然后运行,炸掉了,很正常:
这里写图片描述

看来不会是一个特别简单的问题。

经过研究,是要通过PEB来自己找了。首先看这个程序依赖的DLL:
这里写图片描述

由于MessageBox是User32.dll导出的,所以,会依赖User32.dll,为了尽量减少DLL依赖,因此重新写一段代码:
重新写的代码
这段代码,设置了入口点,并将编译器优化关掉。

编译后重新看依赖DLL:
这里写图片描述
这里写图片描述

好了至此导入表没了,那我们怎么调用其它的函数呢?
使用OD加载后,查看可执行模块:
这里写图片描述

发现默认就有几个dll。这时候就有一个关键的函数LdrLoadDll,该函数声明如下:

NTSTATUS NTAPI LdrLoadDll(
	IN PWCHAR               PathToFile OPTIONAL,
	IN ULONG                Flags OPTIONAL,
	IN PUNICODE_STRING      ModuleFileName,
	OUT PHANDLE             ModuleHandle);

这个函数和LoadLibrary是一样的效果。这个函数在ntdll.dll中导出:
这里写图片描述

我们能看到,代码就算不依赖任何DLL,程序加载后,还是会有几个DLL会一同加载,而ntdll.dll也在其中;因此思路就有了,只需要程序运行后,找到ntdll.dll然后就能找到LdrLoadDll了。-

##接下来是找ntdll.dll
运行在应用层的程序,通过fs寄存器可以拿到很多

最低0.47元/天 解锁文章
8008208820Hell
关注
专栏目录
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
通过 PEB 隐藏导入
VI___
04-16 1069
有时候分析样本查看不到其中的导入,可是没有导入如何调用系统函数呢?这有可能是通过TEB、PEB动态获取,达到隐藏的目的。主要原理是通过FS:[0x30]所指向的PEB结构体入手,得到ntdll.dll或kernel32.dll的基址。 如下新建一个最简单的控制台程序,release编译。 可以看到VC.dll、KERNEL32.dll和其他一些系统函数,其中VC和系统函数可以去掉。 ...
PE文件隐藏输入函数
司徒荆的博客
06-20 524
1、输入隐藏的作用,就是让所有的PE查看器找都不到该函数。 2、示例: (1)、编写代码,并编译: #include "stdafx.h" int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmd...
windows pe文件导入隐藏
pureman_mega的博客
06-16 133
假如,需要使用CreateFileA,WriteFileA,CloseHandle等api,我们会通过GetProcAddress来获取其地址,然后保存到自定义的函数原型指针中。但是,这样就会导致每个函数都有一个单独的变量,无法统一管理;分析过一些文件,发现里面都会对引用的api进行动态获取,然后通过内存指针调用。细细想来,这种方法还是有一定的对抗作用的,如果别人想要分析的必须的稍微深入或者动态调试一下。1,动态获取函数地址,统一保存,通过下标(漂移来识别)2,调用时,对函数地址进行函数指针化,完成调用。
X64下进程隐藏实现与Debug
笔记本
06-26 3358
之前写过几篇进程隐藏的技术贴,但是在X64下代码没有成功,昨晚深入调试了一会儿发现了问题所在,这里详细探讨下 先贴上完整的Hide.dll的cpp代码: #include "Hide.h" #define SystemProcessInformation 5 #define STATUS_SUCCESS (0x00000000L) #define STATUS_...
导入地址.zip
06-02
PE文件结构包含了程序运行所需的各种信息,其中包括了导入地址(Import Address Table, 简称IAT)。这个知识点主要集中在程序如何在运行时找到并调用其他模块(如DLL)中的函数。 导入地址是PE文件的一个关键...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
隐藏方块导入.zip
04-30
在压缩包"隐藏方块导入.zip"中,没有具体的文件名列,但我们可以根据常见的实践推测其中可能包含的内容: 1. **源代码文件**:如果这是一个开发项目的一部分,那么压缩包可能包含各种编程语言的源代码文件,如`....
Universal Import Fixer (UIF) v1.2 FINAL
03-09
某些壳会修改导入,以隐藏或混淆实际的函数调用。UIF工具可以帮助分析和恢复被修改的导入,使得脱壳后的程序可以正常运行。 **UIF工具的功能特性:** 1. **自动检测和修复**:UIF能够自动扫描目标文件的导入...
导入excel,处理合并头、复杂头、多行
02-24
提醒框,完毕后会自动隐藏 3.全面扫描Excel数据,将所有异常详细信息写入Excel,返回客户端,提供用户下载。方便修正错误数据。 4.支持大批量数据导入,经本人测试,3千条数据,只需短短2-5秒钟。 5.为正在此烦恼的...
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
hzw320的博客
04-19 1992
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏的DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏的dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
红队开发基础-基础免杀
include_voidmain的博客
06-28 947
红队开发基础-基础免杀
DLL注入相关
kernweak的博客
06-02 592
DLL是通过问卷映射实现,只占一个内存空间,每个DLL收到一份映像,DLL被加载之后系统页面文件明显变大,内存使用明显变大。 DLL引用分显示隐式 如果有lib+dll+头文件 则:建工程的时候选择导出符号 #pragma comment(lib, “libname.lib”) #include “libname.h” func(); 只有DLL文件 LoadLibrary Ge...
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2964
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
TLS 回调中挂钩 LdrLoadDll 实现监视模块加载过程
最新发布
溡漪幽博客
01-24 1256
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块加载过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
64位Shellcode方式注入DLL
IT男也疯狂
07-18 781
挟持NTDLL的API进行的远程注入DLL,支持主动启动进程方式加载
一、C++反作弊对抗实战 (基础篇 —— 6.利用LdrLoadDll远程线程注入DLL)
Koma的主页
03-02 1191
利用LdrLoadDll远程注入DLL(支持x32与x64)
实战dll注入(原理, 踩坑及排雷)
Niatruc的博客
08-22 4180
使用vs2019编写注入器程序, 在生成的注入器可用前, 踩了不少坑, 因此记录一下.
几个重要的函数
kwonsir的专栏
10-14 1905
几个重要的函数: [特别划来的几个底层函数很有用,有公开的、也有没公开的,有用就收起来] ±        NtQueryDirectoryFile±        在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。NTSTATUS NtQueryDirectoryFile(
PB9高效导入Excel数据
- `ExcelServer.Workbooks.Open(ls_path, 0, False)`: 打开用户选择的Excel文件,参数示是否读写(0示只读),以及是否保持窗口可见(False隐藏)。 5. 关闭警告提示: - `ExcelServer.Application....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值