R3抹掉加载的DLL

最新推荐文章于 2023-11-08 18:05:53 发布
最新推荐文章于 2023-11-08 18:05:53 发布
阅读量3.8k 收藏 8
点赞数
文章标签: R3抹掉加载的DLL 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/71011446
版权
本文介绍了如何使用R3抹除加载的DLL来实现隐藏目的,通过遍历PEB_LDR_DATA的InInitializationOrderModuleList链表,移除目标DLL。这种方法在结合HiJack时能产生显著效果。作者提供了简化版的代码示例,并分享了测试过程。
摘要由CSDN通过智能技术生成

R3抹掉加载的DLL

    原理类似于获取Kernel32.dll加载地址,知道这个东西也是在看获取Kernel32.dll地址的时候在网上搜索学习资料,无意中看到的这个东西。这个挺有用,结合着HiJack的话效果会不错。思路是这样

FS--->TEB--->PEB---> PEB_LDR_DATA.InInitialzationOrderModuleList

细节偏移,以及结构定义我之间整理过,在这 http://blog.csdn.net/u013761036/article/details/71006302  就不重复整理了。)

    得到的这个链表里面存的都是加载的dll相关,获取Kernel32是直接把相关地址返回去,而隐藏相关dll就是把相关要隐藏的dll从链里面摘除就行了ÿ

最低0.47元/天 解锁文章
TK13
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
R3任务管理器隐藏C++源代码
03-15
摘要:VC/C++源码,系统相关,任务管理器  R3任务管理器隐藏,Ring3层隐藏进程 稳定可靠的VC++代码。注:本程序需要在命令提示符环境下运行,在开始运行中打开命令提示符,然后拖动本EXE程序到命令提示符窗口中即可,之前需要先打开进程管理器。
《逆向工程核心原理》----第24章DLL卸载
qq_55785697的博客
04-24 259
DLL注入使用LoadLibrary一样,DLL卸载需要使用FreeLibrary。 1.使用CreateToolhelp32Snapeshoot()API获取加载到进程中的dll信息 2.提权,LookupPrivilegeValue()可以查看权限,AdjustTookenPrivilege()可以禁用/启用函数 提权相关函数_爱沧海的博客-CSDN博客 提权函数的相关链接 3.之后同DLL注入过程类似,获取进程句柄,获取FreeLibrary()地址,创建远程线程 <注>这种方
DLL隐藏技术(抹链)
Arbboter的专栏
07-29 1万+
#include "HideDLL.h" #include DWORD g_dwImageSize = 0; VOID* g_lpNewImage = NULL; /************************************************************************/ /* 把当前进程的所有DLL都使用LoadLibrary再次加载一边,增加引用计
4.PEB断链隐藏模块
Mikasys的博客
10-25 1484
0x4 PEB断链隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
利用PEB隐藏进程模块
m0_52333150的博客
02-02 292
PEB模块隐藏
R3nzSkin.dll
12-14
R3nzSkin.dll
R3 DLL重载
08-26
当一个应用程序需要使用某个功能时,它会加载相应的DLL,并通过导出函数来调用所需的服务。DLL的重载,即在不重启程序的情况下,用新的版本替换正在被使用的DLL,从而达到更新或修改功能的目的。 R3 DLL重载技术的...
r3进程保护dll
08-16
r3进程保护 MsgBox HOOK
R3 Mono driver
07-10
R3 Mono驱动详解及其在生物成像中的应用》 R3 Mono驱动,全称R3 Mono driver,是针对特定CCD(Charge-Coupled Device)相机设备开发的一款驱动程序,其版本为HotFix.9.1.4.6046 (1),并与QIPVRetigaR3...
R3调试清零.rar
04-05
在IT行业中,"R3调试清零"通常指的是在软件开发过程中对系统或者特定模块进行调试的一种操作。这里的"R3"可能代表了系统的一个版本或者是项目开发的第三阶段(Release 3)。调试是程序员在代码开发完成后,为了查找...
易语言PE源码,易语言编译器部分源码,易语言简单实现语法识别及
07-22
易语言简单实现语法识别及程序编译源码,简单实现语法识别及程序编译,DebugCode,LoadMain_DebugMode,Call_RunCode,Call_Fuction,判断函数,过滤备注,Xor,通信_加入调试信息
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT->可选->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
DLL隐藏和逆向
最新发布
m0_75243362的博客
11-08 1678
DLL注入新手详解示例
DLL注入与隐藏的学习
weixin_43781139的博客
05-18 4513
本篇要讲什么?小白看了要问,DLL是啥?为啥要注入?又干嘛隐藏?而大佬直接 我当然是菜鸡,所以我们一起来学习一下这dll到底是神魔东西,他有什么神奇之处。 一、DLL简介 定义:动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码和数据的库。在Windows中,这种文件被称为应用程序拓展。例如,在 Windows 操作系统中,Comdlg32.dll 执行与对话框有关的常见函数。因此,每个程序都可以使用该 DLL 中包含的功能来实现“打开
PEBPEB_LDR_DATA结构
BetaBin
04-20 9981
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001
通过读写PEB.Ldr实现模块枚举和模块隐藏(脱链)
DontBeProud
09-10 2820
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEBPEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEBPEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
[Rootkit] dll 隐藏 - VAD
LYSM
06-10 1976
3环下要想隐藏dll,仅仅靠断链和抹去PE信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种检测,下面会详细介绍隐藏的细节原理和操作方法! 1、VAD 虚拟内存管理 内存分两种:物理内存和虚拟内存;操作系统和进程共享物理内存,进程独享虚拟内存;物理内存可以通过CR3在进程之间互相隔离,确保进程之间互不侵犯;那么进程内部的虚拟地址该怎么管理了? 32位下,每个进程独享4GB内存,怎
dll注入的方式隐藏进程
zerray's
06-16 4171
上次那个改变键盘布局的程序,被同学很容易的就在任务管理器里找出来杀掉了,不爽!想个办法把它藏起来。google了一下,发现隐藏进程的方法有很多。可以用rundll,但那样任务管理器里还是会多出个进程,引起怀疑。还可以写注册表里AppInit_Dlls一项,但我试了一下,结果一改就开不了机,可能是我的dll没写好吧。再有就是注入了,代码注入很隐蔽,但还要遇到代码定位,API定位等问题,麻烦,还是dl
修改PE可选关闭ASLR
hambaga的博客
08-29 723
打开PE编辑工具CFF Explorer 编辑可选PEDllCharacteristics,点击Click here 将第一个复选框dll can move 去除勾选即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值