c语言断链隐藏dll,关于隐藏进程DLL的方式(待实现)

最新推荐文章于 2024-07-25 11:55:38 发布
最新推荐文章于 2024-07-25 11:55:38 发布
阅读量948 收藏 2
点赞数
文章标签: c语言断链隐藏dll

本帖最后由 ffashi 于 2020-1-14 08:05 编辑

从VAD树中消失         IceSword        在枚举进程模块时使用的是ZwQueryVirtualMemory,

查询的 InfoClass是MemorySectionName(或者叫        MemoryMappedFilenameInformation,值为2)。

NtQueryVirtualMemory首先判断        Vad->ControlArea->FilePointer是否有效,

若有效则调用ObQueryNameString查询此文件对象的名        称,最终由文件系统完成此次查询工作。

关于VAD的详细知识,可以参考《JIURL玩玩Win2k内存篇        VAD》,这里不作为重点

,知道是平衡二叉树就可以了,树的根结点在EPROCESS中。

引用内容

lkd>        dt        _EPROCESS        83f915b8

nt!_EPROCESS                                        ...

+0x11c        VadRoot                                                                                        :        0x84079c08

该成员是一个MMVAD类型的结构,而成员LeftChild和RightChild分别是该结点的左子结点和右子结点。

引用内容

lkd>        dt        _MMVAD        0x84079c08

nt!_MMVAD

+0x000        StartingVpn                                                        :        0x8e0

+0x004        EndingVpn                                                                        :        0x8e0

+0x008        Parent                                                                                                :        (null)

+0x00c        LeftChild                                                                        :        0x843b1128        _MMVAD        //左孩子

+0x010        RightChild                                                                :        0x840bf4a0        _MMVAD        //右孩子

+0x014        u                                                                                                                                        :        __unnamed        //标志位

+0x018        ControlArea                                                        :        (null)

+0x01c        FirstPrototypePte        :        (null)

+0x020        LastContiguousPte        :        (null)

+0x024        u2                                                                                                                                :        __unnamed                 要        对目标DLL实施隐藏时,先获取该DLL基址,然后遍历VAD树,

根据 MMVAD->StartingVpn做匹配(StartingVpn实际上        是内存地址的高20位,

比如0x7c800000在这里将只显示为0x7c800)找到目标DLL的VAD结构(这里以kernel32.dll为例,其        加载地址正为0x7c800000):

引用内容

lkd>        dt        _MMVAD        84174a18

nt!_MMVAD                                         +0x000        StartingVpn                                                        :        0x7c800

+0x004        EndingVpn                                                                        :        0x7c91b

+0x008        Parent                                                                                                :        0x841223a0        _MMVAD

+0x00c        LeftChild                                                                        :        0x84120470        _MMVAD

+0x010        RightChild                                                                :        0x841a4790        _MMVAD

+0x014        u                                                                                                                                        :        __unnamed

+0x018        ControlArea                                                        :        0x876d0b88        _CONTROL_AREA        //关键域

+0x01c        FirstPrototypePte        :        0xe177d6f0        _MMPTE

+0x020        LastContiguousPte        :        0xfffffffc        _MMPTE

+0x024        u2                                                                                                                                :        __unnamed

lkd>        dt        _CONTROL_AREA        0x876d0b88

nt!_CONTROL_AREA                                        ...

+0x024        FilePointer                                                        :        0x876d0b10        _FILE_OBJECT外//目标在这里

好        了,看到FILE_OBJECT了,这时你应该会想到系统是从这里取到的文件名吧,没错,这儿就是我们要动手脚的地方。

根据小伟、Sysnap等人的测        试,只要把ControlArea->FilePointer->FileName.Buffer填0就可以实现该DLL的隐藏

(根据字符串        的特性,实际上只需要把第一个字符填0就可以了),此时ZwQueryVirtualMemory将返回0xC0000039错误,

即“指定的路径无        效”,自然也就枚举不到了。而且对于那些共享的dll,如系统的ntdll.dll,kernel32.dll或在不同进程中被加载2次或以上的dll,

虽然是在不同进程中,但是使用的是同一个共享的ControlArea结构,因此只需要改一个,那么在所有进程中都将实现隐藏,

这对于隐藏全局钩子类型的        dll显然是非常方便的。         IS是在ZwQueryVirtualMemory查完全无法枚举到DLL时才采用枚举PEB的方法,

因此结合前面的Ldr断链法,足以搞定N多ARK了。         我所说的“从VAD树中消失”只是使该VAD的信息从IS的查询结果中消失,而并不是真的摘掉该VAD~~

值得一说的是,Sysnap的Yas        Kit在检测隐藏DLL方面也是比较强的,但是对于动了VAD的,似乎也无能为力~

maydaisy
关注
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
模块隐藏断链
最新发布
m0_51681331的博客
07-25 419
关于断链的笔记
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 787
隐藏任意内核驱动
网络靶场实战-免杀技术之dll注入技术详解
蛇矛实验室
12-19 1291
对于 Windows 操作系统,操作系统的大部分功能都是由 DLL 提供的。此外,当您在这些 Windows 操作系统上运行程序时,该程序的大部分功能可能由 DLL 提供。例如,一些程序可能包含许多不同的模块,程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此,操作系统和程序加载速度更快,运行速度更快,并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时,称为依赖性的问题可能会导致程序无法运行。
[Rootkit] dll 隐藏 - VAD
墨鱼菜鸡
06-10 456
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种...
挂钩NtQuerySystemInformationAPI并隐藏进程名称的DLL_C_下载.zip
04-26
标题 "挂钩NtQuerySystemInformationAPI并隐藏进程名称的DLL_C_下载.zip" 提供了关于这个压缩包文件的关键信息,它涉及到一个C语言编写的动态链接库(DLL)项目,该项目的目标是通过挂钩(Hooking)系统别的API来...
进程注入DLL源码
05-05
在压缩包文件"向进程注入DLL"中,很可能包含了实现上述步骤的C语言源代码。你可以通过阅读和分析源码,进一步理解DLL注入的具体实现细节,包括如何调用Windows API,如何处理内存操作等。这对于学习Windows编程和...
DLL系统注入:HookInject.rar
09-06
DLL(Dynamic Link Library)系统注入是一种技术,常用于软件开发和逆向工程中,它允许一个进程将自身的代码注入到另一个进程中,通过加载DLL来执行特定功能或监控目标进程的行为。"HookInject.rar"这个压缩包很可能...
内存DLL完整代码
11-28
内存DLL是一种动态链接库(DLL)技术,它允许程序在运行时将代码注入到其他进程中,从而实现某些特定功能,如扩展程序功能、隐藏进程、监控或修改其他应用程序的行为等。这种技术通常与系统编程、逆向工程和安全研究...
恒云雨隐藏进程易语言源码-易语言
06-13
通过阅读和分析源码,可以了解到如何在易语言中封装和调用C语言编写的动态链接库(DLL)中的API函数,以实现特定的系统操作。 此外,源码中可能还包含了错误处理和调试机制,这在实际编程中是非常重要的。例如,...
易语言实现DLL注入隐藏源码-易语言
06-12
易语言实现DLL注入隐藏源码
MagicWall-master ( 火绒注入demo ).zip_DEMO_magic wall_内核注入_火绒注入_驱动注入
07-14
火绒注入手法便是如此了,别人的源码,转来的
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
离线注入驱动
07-03
PE下使用换主板无法系统删除驱动
完美的内存中加载DLL支持32位和64位DLL
02-20
一位高手写的内存中加载DLL的源代码,支持32位和64位的DLL,支持XE,完美的处理32/64位Windows动态库的加载模,网上很少能下载到了,放到这里备份一下
DLL驱动注入源码
10-16
DLL驱动注入C++源码,都懂的,驱动拥有系统最高权限,可以注入任意游戏。
驱动DLL注入源码
12-23
驱动DLL注入源码 没有什么好说的 ,超强的源码
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动dll注入源码 在xp系统可以注入dll到保护的进程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值