c语言断链隐藏dll,利用C++ R3层断链实现模块隐藏功能

最新推荐文章于 2024-07-25 11:55:38 发布
最新推荐文章于 2024-07-25 11:55:38 发布
阅读量1.3k 收藏 2
点赞数
文章标签: c语言断链隐藏dll
本文详细介绍了C语言和C++如何在R3层断链隐藏DLL模块,通过解析TEB和PEB结构体,理解模块加载信息表,最终利用C++代码实现模块隐藏功能。
摘要由CSDN通过智能技术生成

一、模块隐藏的实现原理

普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。

a3d68b2f1fd07a3817b44eb301659c09.png

模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。

二、结构体成员详细介绍

<1> TEB结构体 -- 内存地址为 fs:[0] 处。

使用Windbg的 "dt _TEB"命令来查看TEB结构体

kd> dt _TEB

ntdll!_TEB

+0x000 NtTib : _NT_TIB

+0x01c EnvironmentPointer : Ptr32 Void

+0x020 ClientId : _CLIENT_ID

+0x028 ActiveRpcHandle : Ptr32 Void

+0x02c ThreadLocalStoragePointer : Ptr32 Void

+0x030 ProcessEnvironmentBlock : Ptr32 _PEB

+0x034 LastErrorValue : Uint4B

1. 属性介绍

1.1)_NT_TIB:重点两个属性,栈顶与栈大小。

1.2) _CLIENT_ID: 存储该进程ID与当前主线程ID。

1.3) _PEB:进程环境块 ,记住其在 TEB 偏移 0x30处即可。

2. 通过olldbg查看该结构体

2.1) 打开任意进程,在寄存器窗口找到 fs:[0],查看其内存地址。

5c4c29cfcd6fe3bdfdb3e28de1ed2941.png

2.2) 在内存窗口使用命令 "db 5E7000" 跳转到该内存,使用地址格式(长型-地址)显示。

a3d5d097c58e89de08665949b90a2034.png

<2> PEB结构体 -- fs:[0x30]

使用 Windbg 指令 dt _PEB 查看 PEB结构体,重点

最低0.47元/天 解锁文章
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
[Rootkit] 修改 peb 隐藏 dll断链
LYSM
04-16 794
原理 PEB 中有一个成员 Ldr: typedef struct _PEB { UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG ImageUsesLargePages: 1; ULONG IsProtectedProcess: 1; ULONG IsLegacyProcess:
[Rootkit] dll 隐藏 - VAD
LYSM
06-10 2101
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种检测,下面会详细介绍隐藏的细节原理和操作方法! 1、VAD 虚拟内存管理 内存分两种:物理内存和虚拟内存;操作系统和进程共享物理内存,进程独享虚拟内存;物理内存可以通过CR3在进程之间互相隔离,确保进程之间互不侵犯;那么进程内部的虚拟地址该怎么管理了? 32位下,每个进程独享4GB内存,怎
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
恶意代码--dll动态接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9455
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
hzw320的博客
04-19 2074
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
DLL隐藏和逆向
m0_75243362的博客
11-08 2022
DLL注入新手详解示例
马尔可夫算法(markov算法)的awk、C++C语言实现代码
01-01
马尔可夫算法用于生成一段随机的英文,其思想非常简单。首先读入数据,然后将读入的数据分成前缀和后缀两部分,通过前缀来随机获取后缀,籍此产生一段可读的随机英文。 为了说明方便,假设我们有如下一段话:  ...
马尔可夫c++ C语言实现方法
07-24
马尔可夫c++ C语言实现方法 非常详细,可以利用已有的文章生成新的风格类似的文章
DLL隐藏技术(抹
07-29
原理就是Load ,保存一份,Free,把备份的粘贴回来,就断链了,这样做的好处是方便。断链也是可以的。
C语言使用openSSL库AES模块实现加密功能详解
08-30
C语言使用openSSL库AES模块实现加密功能详解 加密分类 在密码学中,加密可以分为三种分类:对称加密、非对称加密和离散。 1. 对称加密:对称加密使用相同的密钥进行加密和解密。常见的对称加密算法有DES和AES。 2...
C语言使用openSSL库DES模块实现加密功能详解
12-31
本文实例讲述了C语言使用openSSL库DES模块实现加密功能。分享给大家供大家参考,具体如下: 在通讯过程中为了防止普通的玩家截取协议修改内容并且发送,我们是有必要对协议进行加密的。当前这样的加密手段都已经是...
二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见断链隐藏DLL方法)
Koma的主页
03-03 1385
目前,比较常见的模块隐藏方法有抹去模块的PE头、断开进程的LDR_MODULE或者Hook模块枚举函数等,这里介绍前面抹去PE头、断链的方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
3环断链以及断链后的检测方法
qq_43147121的博客
09-03 815
我们在3环注入代码很多时候会选择注入dll,因为纯粹的硬编码不方便写出大量功能,而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中,其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位,但是就会导致我们的dll会在目标的peb中可见,也就是留下了痕迹。比如说,我不通过模块表来检测而是直接搜索内存找到有pe指纹的位置然后根据pe结构查看当前的模块名字,不是我自己的那就说明有人注入了模块进来。这时就可以通过3环断链的方式隐藏这一部分痕迹。
设置VS编译选项使程序不需要带DLL在任意Windows系统上正常运行
神仙别闹的自留地
11-13 276
然后,点击“代码生成”选项,便可以在右侧的页面看到“运行库”的默认值是“MDd”。如果此时,你的项目是Debug模式的,则选择“MTd”,若是Release模式的,则选择“MT”。这样,VS开发环境就会把MFC所需的DLL文件都静态编译到程序里,这样,生成的文件也自然会变大。在“平台工具集”里选择“Visual Studio 2013 - Windows XP (v120xp)”,即带有“Windows XP (v120xp)”字样的选项,这表示程序兼容XP系统,可以正常在XP系统下运行。
模块隐藏断链
m0_51681331的博客
07-25 462
关于断链的笔记
C++dll的隐式引用
qq_48885546的博客
03-17 1022
经常在项目中遇到dll中的隐式调用问题,下面直接上方法,简单实用。前提是要保证自己的项目和引用的dll库的位数保证一致,否则就是报错:模型计算机与目标计算机类型不一致。博主讲的是一致的情况。需要三个文件,后缀名分别为: .h,.lib,.dll。首先我们把.h和.lib的文件复制到项目根目录下,然后,.dll放在debug(.exe所在)目录下。在项目中引入代码 #include<iostream> using namespace std; #include "xxxx.h" using nam
(源码)基于JavaWeb的饮品销售管理系统.zip
最新发布
11-15
# 基于Java Web的饮品销售管理系统 ## 项目简介 本项目是一个基于Java Web的饮品销售管理系统,主要用于学校实训课程的作业。系统涵盖了从用户管理、商品管理、订单管理到购物车管理的全套功能,旨在提供一个完整的在线饮品销售解决方案。 ## 项目的主要特性和功能 ### 用户管理 用户注册与登录支持用户注册新账号和登录系统。 用户信息管理包括用户信息的查询、修改和删除。 用户类型管理区分不同类型的用户(如管理员、普通用户)。 ### 商品管理 商品CRUD操作支持商品的添加、修改、删除和查询。 商品分类管理支持多级商品分类的查询和管理。 商品分页查询支持按页查询商品信息,提高查询效率。 ### 订单管理 订单CRUD操作支持订单的创建、修改、删除和查询。 订单明细管理支持订单明细的添加和管理。 订单状态管理支持订单状态的更新和查询。 ### 购物车管理
C语言实现队列详解及代码实例
"C语言实现队列的代码实例与详细解析" 在计算机科学中,队列是一种线性数据结构,遵循“先进先出”(FIFO)的原则。队列是队列的一种实现方式,其中元素存储在动态分配的节点中,通过指针连接。本资源提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值