一种躲避模块检测的方法。(断链隐藏模块Ldr)含代码。

最新推荐文章于 2024-08-07 01:40:20 发布
原创 最新推荐文章于 2024-08-07 01:40:20 发布 · 4.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#module #c

本文介绍了一种在Windows环境下隐藏模块的技术实现。通过直接操作进程的PEB_LDR_DATA结构,遍历InLoadOrderModuleList链表,找到目标模块并修改其双向链表指针,从而实现在内存中对该模块的隐藏。 
void hide_module()
{
	HMODULE hMod = AfxGetApp()->m_hInstance;
	PLIST_ENTRY Head,Cur;
	PPEB_LDR_DATA ldr;
	PLDR_MODULE ldm;
	__asm
	{
		mov eax , fs:[0x30]
			mov ecx , [eax + 0x0c] //Ldr
			mov ldr , ecx
	}
	Head = &(ldr->InLoadOrderModuleList);
	Cur = Head->Flink;
	do
	{
		ldm = CONTAINING_RECORD( Cur, LDR_MODULE, InLoadOrderModuleList);
		if( hMod == ldm->BaseAddress)
		{
			ldm->InLoadOrderModuleList.Blink->Flink =
				ldm->InLoadOrderModuleList.Flink;
			ldm->InLoadOrderModuleList.Flink->Blink =
				ldm->InLoadOrderModuleList.Blink; 
			ldm->InInitializationOrderModuleList.Blink->Flink =
				ldm->InInitializationOrderModuleList.Flink;
			ldm->InInitializationOrderModuleList.Flink->Blink =
				ldm->InInitializationOrderModuleList.Blink;  
			ldm->InMemoryOrderModuleList.Blink->Flink =
				ldm->InMemoryOrderModuleList.Flink;
			ldm->InMemoryOrderModuleList.Flink->Blink =
				ldm->InMemoryOrderModuleList.Blink;  
			break;
		}
		Cur= Cur->Flink; 
	}while(Head != Cur);
}

二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见隐藏DLL方法)
Koma的主页
03-03 1626
目前,比较常见的模块隐藏方法有抹去模块的PE头、开进程的LDR_MODULE或者Hook模块枚举函数等,这里介绍前面抹去PE头、方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
app逆向抓包技巧:noProxy、vpn、证书单向校验(sslpinning)与双向校验绕过
最新发布
九月镇灵将的博客
08-07 8164
app逆向抓包技巧:noProxy、vpn与sslpinning检测绕过
进程隐藏_r0_进程保护_进程隐藏_隐藏_驱动_
10-01
从进程表中摘除指定进程
HideDriver_hidedriver_TP_驱动隐藏_驱动隐藏_隐藏驱动
09-11
驱动隐藏 隐藏驱动及驱动注册回调,可过TP双击调试
隐藏DLL模块
weixin_30649859的博客
12-07 203
1. 数据类型 LIST_ENTRY说明:内核使用该结构将所有对象维护在一个双向表中。一个对象分属多个表是很常见的, Flink 成员是一个向前接指向下一个 LIST_ENTRY 结构, Blink 成员则是一个向后接,指向前一个 LIST_ENTRY 结构。通常情况下,这些表都成环形,也就是说,最后一个 Flink 指向表中的第一个 LIST_ENTRY 结构,而第一个 Blink ...
隐藏DLL模块( HideDll)
weixin_33859665的博客
07-05 3720
void HideDll() { HMODULE hMod = ::GetModuleHandle("MyHook.dll"); PLIST_ENTRY Head,Cur; PPEB_LDR_DATA ldr; PLDR_MODULE ldm; __asm { mov eax , fs:[0x30] ...
第二课隐藏驱动
08-16 1799
#include"ntddk.h" typedef struct _driverdata { LIST_ENTRY listentry; ULONG unknown1; ULONG unknown2; ULONG unknown3; ULONG unknown4; ULONG unknown5; ULONG unknown6; ULONG unknown7; UNICOD
利用C++ R3层实现模块隐藏功能
08-25
C++ R3层实现模块隐藏功能是操作系统级别的编程技术,主要应用于Windows系统中,目的是使得特定的模块在程序运行时变得不可见,避免被其他API或工具检测到。以下将详细介绍这一技术的实现原理及关键结构体。 ...
c语言隐藏dll,利用C++ R3层实现模块隐藏功能
weixin_39765840的博客
05-20 1465
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向表,通过遍历双向表中某一成员(字符串)来查找全部模块模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该,将某一模块从这个双向表中摘除,这样再调用传...
4.PEB隐藏模块
Mikasys的博客
10-25 1744
0x4 PEB隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
[NTDLL][Rtl系列][Ldr系列]模块/编码-易语言
06-11
这些术语主要与Windows操作系统内核的接口相关,而"易语言"则是一种流行的中国本土化编程语言,旨在简化编程过程。在这里,我们深入探讨这些知识点。 首先,NTDLL(NT Dynamic Link Library)是Windows NT家族操作...
易语言-进程隐藏隐藏易语言例程
06-25
通过方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败,具体原因,相信大家都明白
隐藏模块.dll 来吧 来下载吧
07-26
隐藏模块,谁都检测不了.来这里下载强大一下吧
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
过非法工具-进程驱动隐藏保护
11-29
过非法工具-进程驱动隐藏保护,驱动级保护软件运行,谁用谁知道
易语言DLL自卸载
07-21
易语言DLL自卸载源码,DLL自卸载,Hello,Dll入口函数,zsxz,取自身模块句柄,卸载自身_
【旧文章搬运】再谈隐藏进程中的DLL模块
weixin_30407099的博客
12-26 266
原文发表于百度空间,2009-09-17========================================================================== 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧。先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLib...
隐藏DLL函数名字
chenqingzhi0728的博客
06-02 640
今天在做练习的时候,想用.def来实现隐藏DLL函数名字。 编译完,放到PE工具之后发现并没有隐藏; .def文件内容: 原因:在VC6里面,添加.def文件是直接添加编译就可以。但在VS2010里面要在项目属性设置里面指定模块定义文件; 改了之后,重新编译就可以成功啦- ...
dll load failed: 找不到指定的模块_Windows 网络编程:隐藏DLL文件
weixin_39574869的博客
11-29 411
一次性进群,长期免费索取教程,没有付费教程。教程列表见微信公众号底部菜单进微信群回复公众号:微信群;QQ群:460500587微信公众号:计算机与网络全ID:Computer-network隐藏进程的方法是把要在进程中完成的功能放在DLL文件中完成,然后将DLL文件注入到其他进程当中,从而达到隐藏进程的目的。现在要做的是隐藏进程中的DLL文件,当把DLL文件注入到远程进程后,可以将DL...
PEB隐藏模块技术解析
PEB隐藏模块一种高级技术,涉及到对Windows内核的理解和对PEB结构的直接操作,主要用于调试、逆向工程或者恶意软件隐藏。对于系统全和软件开发人员来说,了解这种技术有助于提升对系统底层运作的理解,同时也能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值