模块隐藏之断链

已于 2024-07-25 11:56:43 修改
阅读量213 收藏 4
点赞数 3
分类专栏: 远程线程 文章标签: c++ 安全 c语言 windows
于 2024-07-25 11:55:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51681331/article/details/140686007
版权

上一篇文章讨论了远程线程注入的相关知识,我们通过LoadLibraryA函数在目标进程加重了我们自己编写的dll并成功运行,但是这种方法显然很容易被发现,我们只要比较PE文件中的导入表和运行时加载的dll文件就能知道该进程是否被注入了,因此我们需要隐藏我们加载的dll

1 断链

TEB(Thread Environment Block),它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB

PEB(Process Environment Block),进程环境块存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB

我们借助windbg查看TEB和PEB的结构如下
在这里插入图片描述
在这里插入图片描述
在peb中有一个结构体为_PEB_LDR_DATA如下:
在这里插入图片描述
红框中的部分为三个双向链表,InLoadOrderModuleList为加载时的模块列表,InMemoryOrderModuleList为在内存中的模块列表,InInitializationOrderModuleList为初始化时的模块列表,链表里面的值为以下结构体
在这里插入图片描述
因此我们需要在这三个双向链表中把远程加载的dll文件删掉就能到达隐藏的目的

2 实验

我们编写断链隐藏dll的代码如下:

#include <iostream>
#include <windows.h>

typedef struct _UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR Buffer;
} UNICODE_STRING, * PUNICODE_STRING;

typedef struct _PEB_LDR_DATA {
	ULONG length;
	UCHAR Initialized;
	PVOID SsHandle;
	LIST_ENTRY InLoadOrderModuleList;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	PVOID EntryInProgress;
	UCHAR ShutdownInProgress;
	PVOID ShutdownThreadId;

} PEB_LDR_DATA, * PPEB_LDR_DATA;

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;		//代表按加载顺序构成的模块链表
	LIST_ENTRY InMemoryOrderLinks;		//代表按内存顺序构成的链表
	LIST_ENTRY InInitializationOrderLinks;		//代表按初始化顺序构成的链表
	PVOID BaseAddress;		//该模块基地址
	PVOID EntryPoint;		//该模块的入口
	ULONG SizeOfImage;		//该模块的影像大小
	UNICODE_STRING FullDllName;		//包含路径的模块名
	UNICODE_STRING BaseDllName;		//不包含路径的模块名
	ULONG Flags;
	USHORT LoadCount;		//该模块的引用次数
} LDR_MODULE, * PLDR_MODULE;

void Hide(char* moduleName) {
	HMODULE hMod = GetModuleHandle(moduleName);
	PLIST_ENTRY Head, Cur;
	PPEB_LDR_DATA ldr;
	PLDR_MODULE ldm;
	__asm
	{
		mov eax , fs:[0x30]
		mov ecx , [eax + 0x0c]
		mov ldr , ecx
	}
	Head = &(ldr->InLoadOrderModuleList);
	Cur = Head->Flink;
	do
	{
		//宏CONTAINING_RECORD根据结构体中的某成员的地址来推算结构体的地址
		ldm = CONTAINING_RECORD(Cur, LDR_MODULE, InLoadOrderLinks);
		if (hMod == ldm->BaseAddress)
		{
			ldm->InLoadOrderLinks.Blink->Flink = ldm->InLoadOrderLinks.Flink;
			ldm->InLoadOrderLinks.Flink->Blink = ldm->InLoadOrderLinks.Blink;
			ldm->InMemoryOrderLinks.Blink->Flink = ldm->InMemoryOrderLinks.Flink;
			ldm->InMemoryOrderLinks.Flink->Blink = ldm->InMemoryOrderLinks.Blink;
			ldm->InInitializationOrderLinks.Blink->Flink = ldm->InInitializationOrderLinks.Flink;
			ldm->InInitializationOrderLinks.Flink->Blink = ldm->InInitializationOrderLinks.Blink;
			break;
		}
		Cur = Cur->Flink;
	} while (Cur != Head);
}

int main() {
	printf("---------按任意键断链---------\n");
	getchar();
	Hide("kernel32.dll");
	printf("---------断链成功---------\n");
	getchar();
	return 0;
}

编写完代码后编译运行,借助DTDebug来查看进程加载的模块
在这里插入图片描述
启动模块隐藏后,发现kernel32.dll被隐藏了
在这里插入图片描述
断链之后虽然隐藏了kernel32.dll,但仍然可以通过遍历进程vad树的方式发现该模块

阿巴阿巴嘻嘻
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c语言隐藏dll,利用C++ R3层断实现模块隐藏功能
weixin_39765840的博客
05-20 1277
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向表,通过遍历双向表中某一成员(字符串)来查找全部模块模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该表断,将某一模块从这个双向表中摘除,这样再调用传...
易语言隐藏模块(模块)源码
12-17
纯汇编实现,无API调用无模块调用
c语言隐藏dll,通过断隐藏模块(DLL)
weixin_39658900的博客
05-20 746
主要是通过teb+peb实现模块隐藏// HideDll.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include DWORD g_isHide = 0;typedef struct _UNICODE_STRING{USHORT Length;U...
4.PEB断隐藏模块
Mikasys的博客
10-25 1474
0x4 PEB断隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
隐藏进程
m0_75243362的博客
04-21 648
新手windbg使用,入门内核
驱动开发:断隐藏驱动程序自身
热门推荐
CSDN
10-14 1万+
与断隐藏进程功能类似,关于断进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
驱动断 修改模块信息实现隐藏
qq_41490873的博客
04-19 635
#include "ntddk.h" HANDLE hThread; VOID DriverUnload(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动卸载成功\n"); } VOID ThreadRun( PVOID StartContext) { LARGE_INTEGER times; PDRIVER_OBJECT pDriverObje...
c语言隐藏dll,关于隐藏进程DLL的方式(待实现)
weixin_34565946的博客
05-20 902
本帖最后由 ffashi 于 2020-1-14 08:05 编辑从VAD树中消失 IceSword 在枚举进程模块时使用的是ZwQueryVirtualMemory,查询的 InfoClass是MemorySectionName(或者叫 MemoryMappedFilenameInformation,值为2)。NtQueryVirtualMemory首...
内核驱动隐藏自身【断
WorryFree
02-08 1110
内核驱动加载时断隐藏自身!
LDR断 隐藏DLL(转载)
menglv_1978的专栏
08-15 1164
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处接和本声明。 转载接:https://blog.csdn.net/yoie01/article/details/11696295 typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumL...
驱动断隐藏模块E源码
04-02
编译可用.驱动读写断隐藏模块
利用C++ R3层断实现模块隐藏功能
08-25
C++ R3层断实现模块隐藏功能是操作系统级别的编程技术,主要应用于Windows系统中,目的是使得特定的模块在程序运行时变得不可见,避免被其他API或工具检测到。以下将详细介绍这一技术的实现原理及关键结构体。 ...
易语言-进程隐藏之断隐藏易语言例程
06-25
在“易语言-进程隐藏之断隐藏易语言例程”中,我们主要讨论的是如何利用易语言来实现进程的隐藏,这是一种常见的系统编程技巧,特别是在开发隐形软件或者防反调试时会用到。 进程隐藏技术的核心在于改变或规避...
进程断隐藏_r0_进程保护_进程断隐藏_断隐藏_驱动_
10-01
在IT安全领域,进程断隐藏是一种高级的技术,主要用于防止恶意软件分析或杀毒软件的检测。这个技术涉及到操作系统内部的进程管理机制,尤其是Windows系统中的内核级操作。在这个主题下,我们将深入探讨"进程断...
C++笔试强训7
m0_74189279的博客
07-21 969
这意味着编译器会尝试将函数的代码直接插入到每个调用该函数的地方,而不是像通常那样进行函数调用(即,生成调用指令,跳转到函数代码,执行函数体,然后返回)。友元函数是在类外部定义的普通函数,它只能通过传入的参数(如果有的话)来访问类的成员,或者通过类的对象显式地访问(如果该函数设计为接受类的对象作为参数)。函数参数默认值又叫缺省参数,缺省参数必须从右向左开始缺省,必须连续给定缺省值,也就是说,从左到右,一旦遇到一个参数是缺省的,那么之后的参数也必须都是缺省的。指针是类成员函数特有的,用于指向调用该函数的对象。
商品信息管理系统(C语言)
zeyeqianli的博客
07-22 320
该案例使用了C语言中最具特色的结构体,将每个商品的所有信息存在结构体中,并且定义一个结构体类型的数组保存所有商品的信息,并且按照模块化的编程思想,将要实现的每个功能编写成独立的函数,这样即方便阅读同时也方便差错修改。该系统的主要功能如下:(1) 登录系统。(2) 创建商品信息。(3) 打印商品信息。(4) 查询商品信息。(5) 修改商品信息。(6) 删除商品信息。(7) 商品价格排名显示。(8) 退出系统。
C++笔记3:基类指针delete子类对象的内存泄漏问题
subtitle_的博客
07-21 254
C++笔记3:基类指针delete子类对象的内存泄漏问题
C语言动态内存管理
最新发布
m0_62183318的博客
07-22 1017
⚽️动态内存管理是一种内存管理方法。它允许程序在运行时根据需要🍤动态地申请和回收内存空间🍤。与静态内存管理(如变量和数组的预先分配)不同,动态内存管理根据程序的需求即时分配内存,并且分配的内存大小就是程序要求的大小。🥪能更好地适应系统的动态需求,提高内存的利用率🥪可以根据程序的实际需要分配内存,而不是预先分配固定大小的内存🥪允许程序在不需要时释放内存空间,供其他应用程序使用总结来说,🍔动态内存管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值