Inject集合----DLL隐藏

最新推荐文章于 2024-05-22 09:44:01 发布
最新推荐文章于 2024-05-22 09:44:01 发布
阅读量283 收藏 3
点赞数 1
分类专栏: INJECT集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/106104940
版权

   有时候我们在对目标进程注入后,并不像让对方发现我们的DLL,也就是为了避免被检查出来,所以我们需要将DLL信息抹去,也就是从PEB中的三根链表中断开存储DLL信息的节点即可。

介绍:

  先看一下PEB结构

 kd> dt nt!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 BitField         : UChar
   +0x003 ImageUsesLargePages : Pos 0, 1 Bit
   +0x003 IsProtectedProcess : Pos 1, 1 Bit
   +0x003 IsLegacyProcess  : Pos 2, 1 Bit
   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit
   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit
   +0x003 SpareBits        : Pos 5, 3 Bits
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
   +0x014 SubSystemData    : Ptr32 Void
   +0x018 ProcessHeap      : Ptr32 Void
 

 在PEB的+0c处,有一个叫Ldr的字段,为什么叫Ldr,其实它是"Loader"的缩写,说到这里,那也就知道了这个字段是和DLL加载有关系的。下来看一下结构体Ptr32 _PEB_LDR_DATA

0: kd> dt nt!_PEB_LDR_DATA
   +0x000 Length           : Uint4B
   +0x004 Initialized      : UChar
   +0x008 SsHandle         : Ptr32 Void
   +0x00c InLoadOrderModuleList : _LIST_ENTRY
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY
   +0x024 EntryInProgress  : Ptr32 Void
   +0x028 ShutdownInProgress : UChar
   +0x02c ShutdownThreadId : Ptr32 Void
 

在其中最重要的就是标红的三根链表了, 

InLoadOrderModuleList; 模块加载顺序
InMemoryOrderModuleList; 模块在内存中的顺序
InInitializationOrderModuleList; 模块初始化装载顺序

 

LIST_ENTRY 结构是一个双向链表

0: kd> dt nt!_LIST_ENTRY
   +0x000 Flink            : Ptr32 _LIST_ENTRY
   +0x004 Blink            : Ptr32 _LIST_ENTRY
 

这个双链表指向进程装载的模块,结构中的每个指针,指向了一个LDR_DATA_TABLE_ENTRY的结构:

 

0: kd> dt nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING
   +0x02c BaseDllName      : _UNICODE_STRING
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 _ACTIVATION_CONTEXT
   +0x04c PatchInformation : Ptr32 Void
   +0x050 ForwarderLinks   : _LIST_ENTRY
   +0x058 ServiceTagLinks  : _LIST_ENTRY
   +0x060 StaticLinks      : _LIST_ENTRY
   +0x068 ContextInformation : Ptr32 Void
   +0x06c OriginalBase     : Uint4B
   +0x070 LoadTime         : _LARGE_INTEGER
 

 在LDR_DATA_TABLE_ENTRY结构中有标红的两个字段比较重要,可以根据DLLName来判断是否为目标进程,如果是则把当前LIST_ENTRY节点处断开即可。

代码:

void HideModule(char *szModule)
{
	DWORD *PEB = NULL;
	DWORD *Ldr = NULL;
	DWORD *Flink = NULL;
	DWORD *p = NULL;
	DWORD *BaseAddress = NULL;
	DWORD *FullDllName = NULL;

	//定位PEB
	__asm
	{
		//fs位置保存着teb
		//fs:[0x30]位置保存着peb
		mov eax, fs:[0x30]
		mov PEB, eax
	}

	HMODULE hMod = GetModuleHandleA(szModule);

	//得到LDR
	Ldr = *((DWORD **)((unsigned char *)PEB + 0x0c));
	//第一条链表
	Flink = *((DWORD **)((unsigned char *)Ldr + 0x0c));
	p = Flink;

	do
	{
		BaseAddress = *((DWORD **)((unsigned char *)p + 0x18));
		FullDllName = *((DWORD **)((unsigned char *)p + 0x28));

		if ((DWORD*)hMod == BaseAddress)
		{
			**((DWORD **)(p + 1)) = (DWORD)*((DWORD **)p);
			*(*((DWORD **)p) + 1) = (DWORD)*((DWORD **)(p + 1));
			break;
		}

		p = *((DWORD **)p);
	} while (Flink != p);

	Flink = *((DWORD **)((unsigned char *)Ldr + 0x14));
	p = Flink;
	do
	{
		BaseAddress = *((DWORD **)((unsigned char *)p + 0x10));
		FullDllName = *((DWORD **)((unsigned char *)p + 0x20));
		if (BaseAddress == (DWORD *)hMod)
		{
			**((DWORD **)(p + 1)) = (DWORD)*((DWORD **)p);
			*(*((DWORD **)p) + 1) = (DWORD)*((DWORD **)(p + 1));
			break;
		}
		p = *((DWORD **)p);
	} while (Flink != p);

	Flink = *((DWORD **)((unsigned char *)Ldr + 0x1c));
	p = Flink;
	do
	{
		BaseAddress = *((DWORD **)((unsigned char *)p + 0x8));
		FullDllName = *((DWORD **)((unsigned char *)p + 0x18));
		if (BaseAddress == (DWORD *)hMod)
		{
			**((DWORD **)(p + 1)) = (DWORD)*((DWORD **)p);
			*(*((DWORD **)p) + 1) = (DWORD)*((DWORD **)(p + 1));
			break;
		}
		p = *((DWORD **)p);
	} while (Flink != p);
}

 

`Nobody
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9345
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
sisu-inject-bean-1.4.2.jar
01-08
sisu-inject-bean-1.4.2.jar
驱动隐藏进程(eprocess断链
qq_43147121的博客
10-01 849
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
DLL注入与隐藏的学习
weixin_43781139的博客
05-18 4621
本篇要讲什么?小白看了要问,DLL是啥?为啥要注入?又干嘛隐藏?而大佬直接 我当然是菜鸡,所以我们一起来学习一下这dll到底是神魔东西,他有什么神奇之处。 一、DLL简介 定义:动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码和数据的库。在Windows中,这种文件被称为应用程序拓展。例如,在 Windows 操作系统中,Comdlg32.dll 执行与对话框有关的常见函数。因此,每个程序都可以使用该 DLL 中包含的功能来实现“打开
推荐文章:DriverInjectDll - 隐藏DLL注入技术的革新
最新发布
gitblog_00001的博客
05-22 289
推荐文章:DriverInjectDll - 隐藏DLL注入技术的革新 项目地址:https://gitcode.com/strivexjun/DriverInjectDll 项目介绍 在软件工程领域,DLL注入技术常用于调试、监控或性能优化。而DriverInjectDll是一个创新的开源项目,它将DLL注入提升到了一个新的层次。借助驱动级全局注入,该工具能够巧妙地隐藏DLL模块,使得注入过程...
DLL隐藏技术(抹链)
热门推荐
Arbboter的专栏
07-29 1万+
#include "HideDLL.h" #include DWORD g_dwImageSize = 0; VOID* g_lpNewImage = NULL; /************************************************************************/ /* 把当前进程的所有DLL都使用LoadLibrary再次加载一边,增加引用计
安全之路 —— 无DLL文件实现远程进程注入
雨者
08-20 1411
简介         在之前的章节中,笔者曾介
sisu-inject-plexus-1.4.2.jar
01-08
sisu-inject-plexus-1.4.2.jar
javax-inject-1.0-201002241208.jar.zip
07-01
《Java注射框架——javax.inject详解》 在Java开发中,依赖注入(Dependency Injection,简称DI)是一种设计模式,它能够使代码更加灵活、可测试和易于维护。javax.inject是Java平台上的一个标准注入API,它是JSR ...
inject-html-webpack-plugin:将脚本标签和样式链接注入到您的html中
05-09
var InjectHtmlPlugin = require ( 'inject-html-webpack-plugin' ) module . exports = { entry : { index : "./index.js" } , module : { loaders : [ ... ] } , output : { path : './dist' ,
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
隐藏DLL进程的实例(用于木马后果自负)
02-06
隐藏DLL进程的实例(用于木马后果自负),这个是DLL的,exe的是另外一个
DLL的注入与隐藏
12-26
易语言的dll注入与隐藏,是易语言源代码~~有兴趣的朋友可以去看看
javax-inject.jar.zip
04-30
"javax-inject.jar" 是一个专门用于解决此类问题的库,它包含了`javax.inject`包,这个包是Java注射注入(Dependency Injection,简称DI)的一个重要组成部分。在本文中,我们将深入探讨`javax.inject`包的作用、...
内核中劫持线程注入DLL隐藏
人生苦短,我用python
04-18 1357
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
hzw320的博客
04-19 1942
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
DLL隐藏和逆向
m0_75243362的博客
11-08 1728
DLL注入新手详解示例
JAX-RS 1.0:Java API for RESTful Web Services
5. **依赖注入(Dependency Injection)**:JAX-RS支持JSR-330规范中的依赖注入,如使用`@Inject`注解,使得服务组件可以方便地获得其他依赖。 6. **客户端API**:除了服务器端接口外,JAX-RS还提供了一套客户端API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值