VC隐藏DLL模块函数

最新推荐文章于 2023-04-19 15:39:23 发布
最新推荐文章于 2023-04-19 15:39:23 发布
阅读量248 收藏
点赞数
文章标签: 操作系统

以前写的一个隐藏DLL模块函数,记录下来,免得以后需要时难找。

隐藏的方法是把DLL模块的路径从进程的内存中清除掉,不过,还是有方法可以把隐藏的DLL路径找出来的,比如内存暴力搜索等。

隐藏DLL模块的路径后,会存在一些问题,比如你后面想拿DLL的路径,拿不到了,所以在隐藏之前需要把路径保存起来;还有,当程序要Load你隐藏的DLL时,会重新加载这个DLL,因为程序已经无法判断此DLL在此之前是否已经被加载过。

注意:此函数似乎对64位操作系统无效。

//  传入需要隐藏的DLL模块句柄
NTSTATUS HideModule(IN HMODULE hModule)
{
    NTSTATUS                  status  =   - 1 ;
    DWORD                     dwReturnLen  =   0 ;
    PLIST_ENTRY               ListHead  =  NULL;
    PLIST_ENTRY               Current  =  NULL;
    PPEB_LDR_DATA             pLdr  =  NULL;
    PLDR_DATA_TABLE_ENTRY     pstEntry  =  NULL;
    PROCESS_BASIC_INFORMATION processInfo;

    ZeroMemory( & processInfo,  sizeof (PROCESS_BASIC_INFORMATION));
    status  =  ZwQueryInformationProcess(
        GetCurrentProcess(), 
        ProcessBasicInformation, 
         & processInfo, 
         sizeof (PROCESS_BASIC_INFORMATION), 
         & dwReturnLen);
     if  ( ! NT_SUCCESS(status))
         return  status;

    pLdr  =  (PPEB_LDR_DATA)( * (PULONG)((ULONG)processInfo.PebBaseAddress  +   0x00C ));

    ListHead  =   & pLdr -> InLoadOrderModuleList;
    Current  =  ListHead -> Blink;
     while  (Current  !=  ListHead)
    {
        pstEntry  =  CONTAINING_RECORD(Current, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
         if  (pstEntry -> DllBase  ==  hModule)
        {
             if  (pstEntry -> FullDllName.Length  !=   0 )
            {
                ZeroMemory(pstEntry -> FullDllName.Buffer, pstEntry -> FullDllName.Length);
                pstEntry -> FullDllName.Length  =   0 ;
                pstEntry -> FullDllName.MaximumLength  =   sizeof (WCHAR);
                pstEntry -> BaseDllName.Length  =   0 ;
                pstEntry -> BaseDllName.MaximumLength  =   sizeof (WCHAR);
            }

            status  =  STATUS_SUCCESS;
             break ;
        }

        Current  =  pstEntry -> InLoadOrderLinks.Blink;
    }

     return  status;
}

 

weixin_34129145
关注
vc及c# dll注入和文件隐藏
04-30
网上dll注入的例子,不少是编译不了或运行不了。而且很少可用C#的注入例子(找到一个,根本不能用)。底层的钩子程序,要么要求装驱动,要么程序本身有错误,也存在编译不了的问题。这个资源里,上传者把注入做成了dll,这样只要在vc或c#工程里导入dll,就可以执行线程注入。在这个资源里,还带有一个文件目录钩子,已经把所有需要的资源放在了工程里,所以无需装驱动,就可编译。希望对初学者有用。 三个独立工程(源码)。 1。注入模块vc6工程,生成zr.dll。 2。文件目录钩子vc6工程,生成钩子hook.dll. 3。测试工程,c#(vs2008),引用zr.dll。编译成功后,先在c盘建一个包含”2cda4c3bhec7c32c“字段的文件夹和文件,如"c:\2cda4c3bhec7c32c.txt","c:\2cda4c3bhec7c32c"然后运行程序。点注入按钮,观察c盘(注意要刷新),文件和文件夹都隐藏了。点解除,刷新后,文件和目录都出现了。如果要改变隐藏文件的名称,请在工程2的钩子编译中,修改相关代码。
关于实现隐藏DLL中的函数
jhui163的专栏
05-30 2625
很多人问,既然发布了DLL为什么还要隐藏里面的函数呢?   【答】实际上我是隐藏部分而已,基于防御编程的考虑,编写者当然应该将该公布的公布,隐藏的还是要隐藏比较安全。      首先第一个问题就是,DLL函数用什么方式查看? 一般都是使用vc自带的Dependency 查看,还有在命令行里面的dumpbin /export  **路径**.dll   ,还有就是网络上的一些dll查看
如何隐藏DLL的导出接口
ITLionWoo的专栏
05-11 2720
如何你希望优化你DLL的最终生成大小,在每一个导出函数中使用NONAME属性。增加了这个属性表明你只希望保留DLL导出表中顺序,不希望让别人看到你导出的函数名。 EXPORTS         fnHideExportingFunctions@ 1 NONAME         fnHideExportingFunctions1@ 2 NONAME        
最简单的DLL导出函数隐藏方式
swanabin的专栏
07-13 4986
众所周知,DLL导出函数有两种模式:按函数名或按序号 经编译DLL生成后,如果想隐藏函数名不需要任何工具,可以直接改二进制内容进行处理; 1、用二进制编辑器打开DLL文件,然后查找“DLL的文件名”。 2、文件名后紧跟着就是各个函数名,以00作为分隔符 3、文件名前面就是函数的具体信息,包括入口地址、函数顺序号、函数名地址、函数数量等 4、找到函数的数量修改为0000000即可,如果
LDR断链 隐藏DLL(转载)
menglv_1978的专栏
08-15 1199
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 转载链接:https://blog.csdn.net/yoie01/article/details/11696295 typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumL...
VC-dll.rar_et199 vc 6 d_vc 调用DLL_vc dll
09-19
DLL的主要作用是将可执行文件中的某些功能模块分离出来,形成单独的共享库,多个程序可以同时调用这些共享功能,从而节省内存并便于代码维护。在"VC 6 d_VC 调用DLL_vc dll"的上下文中,我们主要关注的是如何在...
VC 调用DLL动态库中的函数测试示例.rar
07-10
VC 实验代码,测试调用DLL动态库中的函数,本代码将学习动态链接库程序的编写。静态库与动态库的区别,以及调用程序在链接静态库和动态库时的区别。如何利用工具查看动态链接库输出的函数,Depends工具的使用,C ...
DLL.rar_VC6.0 .dll_dll调用_vc6 dll
09-22
通过深入理解并实践这个VC6.0下的DLL调用实例,开发者可以掌握如何创建、导入和使用DLL,这对于开发大型软件系统或模块化编程是非常有价值的。同时,了解和掌握DLL的使用,也有助于提升程序设计的灵活性和可维护性。
K7120模块VC程序包含DLL库.rar_K7120模块VC程序包含DLL库_USB动态库_USB转CAN模块
09-21
在本文中,我们将深入探讨如何使用VC++进行USB转CAN模块的开发,特别是与K7120模块相关的VC程序,以及如何利用DLL动态库进行编程。K7120模块是一款广泛应用于嵌入式系统中的USB到CAN接口转换器,它允许通过USB接口与...
dll.rar_DLL vc_dll_dll 源码 下载_vc dll_visual c
09-24
"vc_dll"标签表明这是一个使用Microsoft Visual C++编译器创建的DLL项目。Visual C++提供了全面的C++开发环境,包括对MFC(Microsoft Foundation Classes)的支持,使得开发者能够轻松地创建Windows应用程序和DLL。 ...
DLLHiding:使用 PEB 隐藏 x32x64 ModulesDLL
05-31
DLL隐藏 使用 PEB 隐藏 x32/x64 模块 ##Summary 一个简单的命令行应用程序,用于在任何 Windows 进程中隐藏 DLL。 适用于 x32 和 x64 进程。 它应该适用于从 Windows XP 到 Windows 8 的所有平台。目前仅在 Windows 7 上测试。 每个进程在 PE 块内以三个链接列表的形式维护内部加载的模块/DLL 集。 加载订单列表 内存顺序表 初始化顺序列表 ##Commands 在控制台中运行: DLLHiding32.exe "进程名称" "DLL 名称" DLLHiding64.exe "进程名称" "DLL 名称" ##Limitations 应该有效地对所有用户模式应用程序隐藏模块。 具有内核模式访问权限的应用程序可以枚举隐藏模块,这些应用程序包括进程资源管理器,因为内核对象保持不变。 此外,用户模式应用程序可
DLL隐藏技术(抹链)
07-29
原理就是Load ,保存一份,Free,把备份的粘贴回来,就断链了,这样做的好处是方便。断链也是可以的。
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
最新发布
hzw320的博客
04-19 2008
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
隐藏DLL模块( HideDll)
weixin_33859665的博客
07-05 3514
void HideDll() { HMODULE hMod = ::GetModuleHandle("MyHook.dll"); PLIST_ENTRY Head,Cur; PPEB_LDR_DATA ldr; PLDR_MODULE ldm; __asm { mov eax , fs:[0x30] ...
dll隐藏导出函数
songtzu的专栏
07-29 2978
DLL中导出函数的声明有两种方式:一种为在函数声明中加上__declspec(dllexport),这里不再举例说明;另外一种方式是采用模块定义(.def) 文件声明,.def文件为链接器提供了有关被链接程序的导出、属性及其他方面的信息。             首先创建 一个DLL程序,.cpp中 int __stdcall Add(int numa, int numb) {  
pspcidtable杂谈
yaneng的专栏
06-18 1614
今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要说R0枚举隐藏进程, 只是对没有抹掉PspCidTable而言的.gz1X牛提示了2种方法:Quote::1. 利用未导出的ExEnumHandleTable函数2. 获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId 偶觉得都
VC创建DLL教程:导出C类与函数
"这篇文章除了介绍VC编写DLL的几种方法,还涉及了动态连接库的特点、如何导出和导入DLL中的元素,以及如何在客户端程序中使用DLL。" 在VC++环境中,创建DLL(动态链接库)是常见的代码复用和模块化设计方式。DLL的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值