c语言断链隐藏dll,利用C++ R3层断链实现模块隐藏功能

最新推荐文章于 2023-09-03 19:13:27 发布
VIP文章 最新推荐文章于 2023-09-03 19:13:27 发布
阅读量1.2k 收藏 2
点赞数
文章标签: c语言断链隐藏dll

一、模块隐藏的实现原理

普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。

a3d68b2f1fd07a3817b44eb301659c09.png

模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。

二、结构体成员详细介绍

<1> TEB结构体 -- 内存地址为 fs:[0] 处。

使用Windbg的 "dt _TEB"命令来查看TEB结构体

kd> dt _TEB

ntdll!_TEB

+0x000 NtTib : _NT_TIB

+0x01c EnvironmentPointer : Ptr32 Void

+0x020 ClientId : _CLIENT_ID

+0x028 ActiveRpcHandle : Ptr32 Void

+0x02c ThreadLocalStoragePointer : Ptr32 Void

+0x030 ProcessEnvironmentBlock : Ptr32 _PEB

+0x034 LastErrorValue : Uint4B

1. 属性介绍

1.1)_NT_TIB:重点两个属性,栈顶与栈大小。

1.2) _CLIENT_ID: 存储该进程ID与当前主线程ID。

1.3) _PEB:进程环境块 ,记住其在 TEB 偏移 0x30处即可。

2. 通过olldbg查看该结构体

2.1) 打开任意进程,在寄存器窗口找到 fs:[0],查看其内存地址。

5c4c29cfcd6fe3bdfdb3e28de1ed2941.png

2.2) 在内存窗口使用命令 "db 5E7000" 跳转到该内存,使用地址格式(长型-地址)显示。

a3d5d097c58e89de08665949b90a2034.png

<2> PEB结构体 -- fs:[0x30]

使用 Windbg 指令 dt _PEB 查看 PEB结构体,重

最低0.47元/天 解锁文章
weixin_39765840
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见断链隐藏DLL方法)
Koma的主页
03-03 1258
目前,比较常见的模块隐藏方法有抹去模块的PE头、断开进程的LDR_MODULE或者Hook模块枚举函数等,这里介绍前面抹去PE头、断链的方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
利用C++ R3层断实现模块隐藏功能
08-25
R3层的模块隐藏,我们需要做的就是将其该断链,将某一模块从这个双向表中摘除,这样再调用传统的API时就会搜索不到。本文重点给大家介绍利用C++ R3层断实现模块隐藏功能,感兴趣的朋友一起看看吧
[Rootkit] 修改 peb 隐藏 dll断链
LYSM
04-16 633
原理 PEB 中有一个成员 Ldr: typedef struct _PEB { UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG ImageUsesLargePages: 1; ULONG IsProtectedProcess: 1; ULONG IsLegacyProcess:
修改PEB实现断链隐藏DLL
做一个快乐学习者
09-01 1483
void HideModule(void* pModule) { void* pPEB = nullptr; _asm { push eax mov eax,fs:[0x30] mov pPEB,eax pop eax } void* pLDR = *((void**)((unsigned char*)pPEB + 0xc)); void* pCurrent = ...
[Rootkit] dll 隐藏 - VAD
LYSM
06-10 1836
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种检测,下面会详细介绍隐藏的细节原理和操作方法! 1、VAD 虚拟内存管理 内存分两种:物理内存和虚拟内存;操作系统和进程共享物理内存,进程独享虚拟内存;物理内存可以通过CR3在进程之间互相隔离,确保进程之间互不侵犯;那么进程内部的虚拟地址该怎么管理了? 32位下,每个进程独享4GB内存,怎
恶意代码--dll动态接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9253
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
hzw320的博客
04-19 1677
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
3环断链以及断链后的检测方法
qq_43147121的博客
09-03 691
我们在3环注入代码很多时候会选择注入dll,因为纯粹的硬编码不方便写出大量功能,而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中,其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位,但是就会导致我们的dll会在目标的peb中可见,也就是留下了痕迹。比如说,我不通过模块表来检测而是直接搜索内存找到有pe指纹的位置然后根据pe结构查看当前的模块名字,不是我自己的那就说明有人注入了模块进来。这时就可以通过3环断链的方式隐藏这一部分痕迹。
马尔可夫算法(markov算法)的awk、C++C语言实现代码
01-01
1. 问题描述 马尔可夫算法用于生成一段随机的英文,其思想非常简单。首先读入数据,然后将读入的数据分成前缀和后缀两部分,通过前缀来随机获取后缀,籍此产生一段可读的随机英文。 为了说明方便,假设我们有如下一段话:   代码如下:   Show your flowcharts and conceal your tables and I will be mystified. Show your tables and your flowcharts will be obvious.   假设前缀的长度为2,则我们处理输入以后得到如下数据,我们首先获取一个前缀,然后在前缀的后缀列表中随机选择一个单词,
DLL隐藏技术(抹
07-29
原理就是Load ,保存一份,Free,把备份的粘贴回来,就断链了,这样做的好处是方便。断链也是可以的。
C语言实现队列代码
08-27
主要为大家详细介绍了C语言实现队列代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
C语言实现队列
08-27
主要为大家详细介绍了C语言实现队列,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
C语言实现队列
08-27
主要为大家详细介绍了C语言实现队列,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
马尔可夫c++ C语言实现方法
07-24
马尔可夫c++ C语言实现方法 非常详细,可以利用已有的文章生成新的风格类似的文章
电子、通信、计算机大类学生课程实验的心得体会
05-01
电子、通信、计算机大类学生课程实验的心得体会 电子、通信、计算机大类的学生课程实验是工科教育中非常重要的一环,它不仅能够加深学生对理论知识的理解,还能培养学生的实践能力和创新思维。
【营销】任务一金融产品与金融产品营销认识.docx
最新发布
05-01
【营销】任务一金融产品与金融产品营销认识.docx
单片机课程实验-秒表实现
05-01
1.了解LED数码管的工作原理,为秒表时钟模块实现打下基础。 LED数码管是一种常用的数字显示器件,通过控制每个LED的亮灭来显示数字。在秒表时钟模块中,我们需要利用LED数码管的这一特性,通过单片机控制数码管的显示,从而实现时钟的功能。因此,了解LED数码管的工作原理对于实现秒表时钟模块至关重要。 2.掌握51单片机与LED数码管的接口技术,是实现秒表时钟模块的关键。 51单片机是一种常用的微控制器,可以通过接口与外部设备进行通信。在秒表时钟模块中,我们需要通过单片机与LED数码管之间的接口,控制数码管的显示。因此,掌握51单片机与LED数码管的接口技术是实现秒表时钟模块的关键。在实际操作中,我们需要根据接口协议和数据传输方式,编写相应的程序来控制数码管的显示。 3.合理利用定时器/计数器,是实现秒表时钟模块的效率保障。 在秒表时钟模块中,我们需要实现计时功能,这需要使用到定时器/计数器。定时器/计数器可以用来产生计时脉冲,从而控制秒表的计时。通过合理利用定时器/计数器,可以提高秒表时钟模块的计时精度和效率。在实际操作中,我们需要根据具体的应用场景和需求,选择合适的定时器/计数器参
c语言调用dllc++调用dll
05-17
C语言C++语言都可以调用DLL(动态接库),但是两者调用DLL的方式有所不同。 C语言调用DLL需要定义函数指针,并通过LoadLibrary和GetProcAddress函数来获取DLL中的函数地址,再通过函数指针来调用DLL中的函数。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值