利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)

最新推荐文章于 2024-05-10 19:20:55 发布
最新推荐文章于 2024-05-10 19:20:55 发布
阅读量1.7w 收藏 25
点赞数 6
分类专栏: ASM/WTL/MFC/QT 文章标签: VC 隐藏DLL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/22748019
版权 
//#include "stdafx.h"

#include <Windows.h> 
  
typedef struct _UNICODE_STRING { // UNICODE_STRING structure   
    USHORT Length;  
    USHORT MaximumLength;  
    PWSTR  Buffer;  
} UNICODE_STRING;  
typedef UNICODE_STRING *PUNICODE_STRING;  

typedef LONG NTSTATUS;

//
// Loader Data Table Entry
//
typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union
	{
		LIST_ENTRY HashLinks;
		PVOID SectionPointer;
	};
	ULONG CheckSum;
	union
	{
		ULONG TimeDateStamp;
		PVOID LoadedImports;
	};
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {
	ULONG                   Length;
	BOOLEAN                 Initialized;
	PVOID                   SsHandle;
	LIST_ENTRY              InLoadOrderModuleList;          //按加载顺序
	LIST_ENTRY              InMemoryOrderModuleList;        //按内存顺序
	LIST_ENTRY              InInitializationOrderModuleList;//按初始化顺序
	PVOID          EntryInProgress;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

//每个模块信息的LDR_MODULE部分
typedef struct _LDR_MODULE {
	LIST_ENTRY              InLoadOrderModuleList;          
	LIST_ENTRY              InMemoryOrderModuleList;        
	LIST_ENTRY              InInitializationOrderModuleList;
	PVOID                   BaseAddress;
	PVOID                   EntryPoint;
	ULONG                   SizeOfImage;
	UNICODE_STRING          FullDllName;
	UNICODE_STRING          BaseDllName;
	ULONG                   Flags;
	SHORT                   LoadCount;
	SHORT                   TlsIndex;
	LIST_ENTRY              HashTableEntry;
	ULONG                   TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

VOID HideModule(HMODULE hLibrary)
{
	PPEB_LDR_DATA	pLdr = NULL;
	PLDR_MODULE		FirstModule = NULL;
	PLDR_MODULE		GurrentModule = NULL;
	__try
	{
		__asm
		{
			mov esi, fs:[0x30]
			mov esi, [esi + 0x0C]
			mov pLdr,esi
		}

		FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);
		GurrentModule = FirstModule;
		while(!(GurrentModule ->BaseAddress == hLibrary))
		{
			GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);
			if(GurrentModule == FirstModule)
				break;
		}
		if(GurrentModule->BaseAddress != hLibrary) 
			return;

		//Dll解除链接
		((PLDR_MODULE)(GurrentModule -> InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule -> InLoadOrderModuleList.Blink;
		((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;
		
		memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);
		memset(GurrentModule, 0, sizeof(PLDR_MODULE));
	}

	__except(EXCEPTION_EXECUTE_HANDLER)
	{
		return;
	}
}

//LdrLoadDll function prototype
typedef NTSTATUS (WINAPI *fLdrLoadDll)(IN PWCHAR PathToFile OPTIONAL,IN ULONG Flags OPTIONAL,IN PUNICODE_STRING ModuleFileName,OUT PHANDLE ModuleHandle);  

//RtlInitUnicodeString function prototype
typedef VOID (WINAPI *fRtlInitUnicodeString)(PUNICODE_STRING DestinationString,PCWSTR SourceString);  


HMODULE					hntdll;  
fLdrLoadDll				_LdrLoadDll;  
fRtlInitUnicodeString	_RtlInitUnicodeString;  

HMODULE LoadDll(LPCSTR lpFileName)
{  
    if (hntdll == NULL) 
	{
		hntdll = GetModuleHandleA("ntdll.dll");
	}  

    if (_LdrLoadDll == NULL) 
	{
		_LdrLoadDll = (fLdrLoadDll)GetProcAddress (hntdll,"LdrLoadDll");
	}  

    if (_RtlInitUnicodeString == NULL)  
    {
		_RtlInitUnicodeString = (fRtlInitUnicodeString)GetProcAddress (hntdll,"RtlInitUnicodeString");
	}  
	
    int StrLen = lstrlenA(lpFileName);  
    BSTR WideStr = SysAllocStringLen(NULL, StrLen);  
    MultiByteToWideChar(CP_ACP, 0, lpFileName, StrLen, WideStr, StrLen);  
	
    UNICODE_STRING usDllName;  
    _RtlInitUnicodeString(&usDllName, WideStr);  
    SysFreeString(WideStr);  
	
    HANDLE DllHandle;  
    _LdrLoadDll(0, 0, &usDllName, &DllHandle);  
	
    return (HMODULE)DllHandle;  
}

int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
	HMODULE hMydll = LoadDll("Test.dll");
	HideModule(hMydll);
	MessageBox(NULL,"Hello",NULL,NULL);
	return 0;
}

汪宁宇
关注
  • 6
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
(开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
12-31
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
MemoryModule - exp - test
最新发布
谢绝留言与私信
05-10 927
MemoryModule 是从内存载入DLL的一种实现。测试一下和隐式载入DLL/显式载入在效果上有哪些不同?是否可以在内存中载入执行正规DLL的接口?在内存载入正规DLL时,是否可以在DLL中执行正常的API?是否可以正常调用其他正规DLL的接口?
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动级dll注入源码 在xp系统可以注入dll到保护的进程
绕过LoadLibrary 加载DLL
afumz68826的专栏
12-09 173
#include <Windows.h> typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING *PUNICODE_STRIN...
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
12-31
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
进程中dll模块的隐藏
08-18 2546
http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。          我们可
通过读写PEB.Ldr实现模块枚举和模块隐藏(脱链)
DontBeProud
09-10 2795
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEB,PEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEB、PEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll
09-20
在标题"ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll"中,我们可以看到"ApiHook"、"DLL HOOK"以及"api_hook.dll"等关键词,这些都是与API Hook密切相关的元素。描述中提到的"API Hook示例代码"是...
Hook Api,hook ReadFile,hook WriteFile,hook LoadLibrary
09-02
例如,不正确的Hook可能导致系统崩溃,而恶意软件也常常利用Hook API隐藏自身行为或劫持系统功能。 总结来说,Hook API是Windows编程中的一种强大工具,允许开发者在关键操作上添加自定义逻辑。通过对ReadFile、...
Hook_DLL.rar_api hook_hook dll_hook/dll_keyboard dll
09-20
标题中的"Hook_DLL.rar_api hook_hook dll_hook/dll_keyboard dll"揭示了我们即将探讨的主题——API钩子(Hook)技术,特别是与DLL(动态链接库)相关的键盘输入挂钩。在这个场景下,描述指出我们将关注“Hook ...
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover4
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK的核心是通过DLL(动态链接库)注入到目标进程中,来替换或"HOOK"特定API函数的调用,以此达到监控、修改甚至阻止原函数执行的目的。 在标题中提到的“APIHOOK可以通过dll载入进程HOOK指定的函数地址”,这...
vc++ dll注入api hook.zip
02-28
在IT领域,DLL注入和API Hook是两种高级的编程技术,通常用于系统监控、调试以及安全测试。在“vc++ dll注入api hook.zip”这个压缩包中,包含了实现这两种技术的相关源代码,如`apihijack.cpp`、`apihijack.h`以及...
TLS 回调中挂钩 LdrLoadDll 实现监视模块加载过程
溡漪幽博客
01-24 1141
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块加载过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
一、C++反作弊对抗实战 (基础篇 —— 6.利用LdrLoadDll远程线程注入DLL)
Koma的主页
03-02 1153
利用LdrLoadDll远程注入DLL(支持x32与x64)
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2908
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
sunflover454的专栏
12-31 8147
本文首发在吾爱破解:http://www.52pojie.cn/thread-429548-1-1.html DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
android 进程注入 x86,(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)...
weixin_39673293的博客
05-27 209
使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。核心源代码如下,完整源代码,请在文章末尾下载。//OD跟踪,发现最后调用的是NtCreateThreadEx,所以这里手动调用HANDLE Cx64Inject::MyCreateRemoteThread(HANDLE hProcess, LPTHRE...
利用hook api屏幕取词
01-13
利用hook api屏幕取词是指通过使用hook技术来实时监控屏幕上的文字内容,从而实现快速、准确地获取屏幕上的文字。一般情况下,这种技术常用于自动化办公、屏幕录制、辅助识别等需求。 具体实现利用hook api屏幕取词时,首先需要通过编程语言提供的相关接口,如Windows API等,来监控屏幕画面的变化。接下来,需要注册一个在屏幕发生变化时被调用的回调函数。这个回调函数能够获取到发生变化的画面区域的截图,并通过OCR(Optical Character Recognition,光学字符识别)技术将截图中的文字转化为可供程序理解的文本。 在获取到OCR结果后,可以进一步处理这些文字,如进行关键字提取、语义分析等。通过利用hook api屏幕取词,可以帮助用户快速实现对屏幕上文字内容的提取和处理,提高工作效率和准确性。 然而,需要注意的是,利用hook api屏幕取词也有一些限制。首先,由于需要实时监控屏幕画面,这种方法可能对计算资源有较高的需求。其次,OCR技术受到字体、分辨率、语言等因素的影响,可能会产生一定的识别误差。再次,使用hook技术在某些场景下可能会涉及到安全和隐私问题,需谨慎使用并遵守相关法律法规。 综上所述,利用hook api屏幕取词是一种实现屏幕文字提取的方法,通过hook技术实时监控屏幕变化,并结合OCR技术将截图中的文字转化为可供程序理解的文本。尽管存在一些限制和风险,但在合理的应用场景下,它能有效提高工作效率和准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值