断链隐藏dll

最新推荐文章于 2021-06-10 20:36:00 发布
最新推荐文章于 2021-06-10 20:36:00 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: VC++编程 文章标签: dll module string struct list buffer

typedef struct _UNICODE_STRING
{
 USHORT Length;
 USHORT MaximumLength;
 PWSTR  Buffer;
} UNICODE_STRING,*PUNICODE_STRING;

typedef struct _PEB_LDR_DATA {
 ULONG                   Length;
 BOOLEAN                 Initialized;
 PVOID                   SsHandle;
 LIST_ENTRY              InLoadOrderModuleList;
 LIST_ENTRY              InMemoryOrderModuleList;
 LIST_ENTRY              InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE
{
 LIST_ENTRY          InLoadOrderModuleList;   //+0x00
 LIST_ENTRY          InMemoryOrderModuleList; //+0x08 
 LIST_ENTRY          InInitializationOrderModuleList; //+0x10
 void*               BaseAddress;  //+0x18
 void*               EntryPoint;   //+0x1c
 ULONG               SizeOfImage;
 UNICODE_STRING      FullDllName;
 UNICODE_STRING      BaseDllName;
 ULONG               Flags;
 SHORT               LoadCount;
 SHORT               TlsIndex;
 HANDLE              SectionHandle;
 ULONG               CheckSum;
 ULONG               TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;


void CMyHookDlg::HideDll()
{
 HMODULE hMod = ::GetModuleHandle("kernel.dll");
 PLIST_ENTRY Head,Cur;
 PPEB_LDR_DATA ldr;
 PLDR_MODULE ldm;
 __asm
 {
  mov eax , fs:[0x30]
  mov ecx , [eax + 0x0c] //Ldr
  mov ldr , ecx
 }
 Head = &(ldr->InLoadOrderModuleList);
 Cur = Head->Flink;
 do
 {
  ldm = CONTAINING_RECORD( Cur, LDR_MODULE, InLoadOrderModuleList);
  //printf("EntryPoint [0x%X]/n",ldm->BaseAddress);
  if( hMod == ldm->BaseAddress)
  {
   ldm->InLoadOrderModuleList.Blink->Flink =
    ldm->InLoadOrderModuleList.Flink;
   ldm->InLoadOrderModuleList.Flink->Blink =
    ldm->InLoadOrderModuleList.Blink;
   ldm->InInitializationOrderModuleList.Blink->Flink =
    ldm->InInitializationOrderModuleList.Flink;
   ldm->InInitializationOrderModuleList.Flink->Blink =
    ldm->InInitializationOrderModuleList.Blink; 
   ldm->InMemoryOrderModuleList.Blink->Flink =
    ldm->InMemoryOrderModuleList.Flink;
   ldm->InMemoryOrderModuleList.Flink->Blink =
    ldm->InMemoryOrderModuleList.Blink; 
   break;
  }
  Cur= Cur->Flink;
 }while(Head != Cur);
}

redsn0w
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见断链隐藏DLL方法)
Koma的主页
03-03 1327
目前,比较常见的模块隐藏方法有抹去模块的PE头、断开进程的LDR_MODULE链或者Hook模块枚举函数等,这里介绍前面抹去PE头、断链的方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
c语言断链隐藏dll,利用C++ R3层断链实现模块隐藏功能
weixin_39765840的博客
05-20 1287
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传...
[Rootkit] 修改 peb 隐藏 dll断链
LYSM
04-16 700
原理 PEB 中有一个成员 Ldr: typedef struct _PEB { UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG ImageUsesLargePages: 1; ULONG IsProtectedProcess: 1; ULONG IsLegacyProcess:
c语言断链隐藏dll,通过断链隐藏模块(DLL)
weixin_39658900的博客
05-20 762
主要是通过teb+peb实现模块隐藏// HideDll.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include DWORD g_isHide = 0;typedef struct _UNICODE_STRING{USHORT Length;U...
delphi LDR断链 隐藏DLL
IT男也疯狂
10-16 2615
unit UHideModule; interface uses windows; type UNICODE_STRING = packed record Len:Cardinal; Max:Cardinal; Buffer:PWideChar end; PLIST_ENTRY = ^LIST_ENTRY; LIST_ENTRY = Packed re
DLL隐藏技术(抹链)
07-29
原理就是Load ,保存一份,Free,把备份的粘贴回来,就断链了,这样做的好处是方便。断链也是可以的。
易语言隐藏模块(模块断链)源码
12-17
纯汇编实现,无API调用无模块调用
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
"HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动"这个主题涉及到的是驱动程序的安全性和隐藏技术,特别是在对抗动态调试工具如TP(Taint Parser)时的策略。 驱动隐藏是一种技术,用于防止恶意用户或...
利用C++ R3层断链实现模块隐藏功能
08-25
C++ R3层断链实现模块隐藏功能是操作系统级别的编程技术,主要应用于Windows系统中,目的是使得特定的模块在程序运行时变得不可见,避免被其他API或工具检测到。以下将详细介绍这一技术的实现原理及关键结构体。 ...
进程隐藏断链隐藏例子-易语言
06-12
在这个“进程隐藏断链隐藏例子-易语言”教程中,我们将探讨易语言如何实现进程隐藏,特别是在32位系统下,以及为什么在64位的Windows 7系统中可能无法成功。 易语言是一种中国本土开发的编程语言,其设计目标是让...
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
DLL的注入与隐藏
12-26
易语言的dll注入与隐藏,是易语言源代码~~有兴趣的朋友可以去看看
隐藏DLL进程的实例(用于木马后果自负)
02-06
隐藏DLL进程的实例(用于木马后果自负),这个是DLL的,exe的是另外一个
进程中dll模块的隐藏
xjh_Love_paopao的专栏
07-21 1523
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。        我们可以先简单看看Windows枚举进程内模块的办法吧:  
LDR断链 隐藏DLL
IT男也疯狂
09-14 6760
typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING, *PUNICODE_STRING; typedef struct _PEB_LDR_DATA { DWORD Length; // +0x00 bool Initialize
Inject集合----DLL隐藏
qq_42021840的博客
05-14 283
有时候我们在对目标进程注入后,并不像让对方发现我们的DLL,也就是为了避免被检查出来,所以我们需要将DLL信息抹去,也就是从PEB中的三根链表中断开存储DLL信息的节点即可。 介绍: 先看一下PEB结构 kd> dt nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x00...
[Rootkit] dll 隐藏 - VAD
墨鱼菜鸡
06-10 436
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种...
隐藏dll
fanpeii的专栏
02-01 1051
这是一段隐藏dll的代码。
cmake 链接dll
最新发布
07-27
你可以使用 CMake 来链接 DLL 库。下面是一个简单的示例: ```cmake cmake_minimum_required(VERSION 3.0) project(YourProjectName) # 设置头文件路径 include_directories(include) # 设置库文件路径 link_directories(lib) # 添加要编译的源文件 add_executable(YourExecutableName main.cpp) # 链接 DLL 库 target_link_libraries(YourExecutableName YourDLLName) ``` 你需要将上述代码中的 `YourProjectName` 替换为你的项目名称,`include` 替换为你的头文件路径,`lib` 替换为你的库文件路径,`YourExecutableName` 替换为你的可执行文件名,`YourDLLName` 替换为你要链接的 DLL 文件名。 请确保你的 DLL 文件位于指定的库文件路径中,否则链接过程可能会失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值