dll注入进程是很难存活的,因为被注入的进程很容易检测到有一个DLL不是自己加载的,是别人加载的。所以我们需要将DLL隐藏起来
我们学习过API,可以枚举进程模块,那么这些API是怎么把模块查出来的呢
进程在0环有个结构体,叫EPROCESS。线程在0环有个结构体,叫ETHREAD。PEB和TEB是三环的结构体,在三环就能访问
PEB结构体的00c偏移是一个Ldr结构体
这个结构体就包括模块链表,API函数遍历模块就是查看这个链表
模块隐藏(滴水)
最新推荐文章于 2020-10-02 11:17:30 发布