以 gh0st源码为例,我将服务端代码迁移了出来,因为在网上的gh0st代码基本上都是release版本的,将服务端代码取出来方便调试。
在服务端生成的dll,显示加载的话在OD中明显可以看到相关模块,所以为了达到模块隐藏的目的,需要从内存中加载相关模块,从而在OD
中看不到这个dll。
在百度上面搜索MemLoadDll找到了相关的源码,但是大部分源码调用MemLoadLibrary的时候出错,调试发现在填充引入地址表时候无法将
User32.dll找到,所以在github找到了可以使用的源码https://github.com/fancycode/MemoryModule,将.h和.cpp导入文件,