如何隐藏导入表

已于 2024-10-28 20:41:18 修改
阅读量1.1k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: windows c++
于 2017-11-11 15:25:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dybb8999/article/details/78506737
本文探讨了如何隐藏PE文件的导入表,通过修改PE结构并利用LdrLoadDll函数动态加载DLL。通过研究PEB和LDR_DATA_TABLE_ENTRY结构,找到了在没有导入表的情况下调用DLL函数的方法。然而,这种方法在不同操作系统环境下可能存在兼容性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当有人问我这个问题的时候,我真的是一脸懵逼,我只知道编译的时候尽量少的引用dll可以减少导入表的量。

后来尝试一个正常的程序,将PE结构的导入表大小和位置全部设置为0:
该程序只负责调用MessageBox(实际是MessaheBoxW,或者MessageBoxA,但是大家都懂,不作区分):
这里写图片描述

正常的导入表

将导入表RVA和大小设置为0

然后运行,炸掉了,很正常:
这里写图片描述

看来不会是一个特别简单的问题。

经过研究,是要通过PEB来自己找了。首先看这个程序依赖的DLL:
这里写图片描述

由于MessageBox是User32.dll导出的,所以,会依赖User32.dll,为了尽量减少DLL依赖,因此重新写一段代码:
重新写的代码
这段代码,设置了入口点,并将编译器优化关掉。

编译后重新看依赖DLL:
这里写图片描述
这里写图片描述

好了至此导入表没了,那我们怎么调用其它的函数呢?
使用OD加载后,查看可执行模块:
这里写图片描述

发现默认就有几个dll。这时候就有一个关键的函数LdrLoadDll,该函数声明如下:

NTSTATUS NTAPI LdrLoadDll(
	IN PWCHAR               PathToFile OPTIONAL,
	IN ULONG                Flags OPTIONAL,
	IN PUNICODE_STRING      ModuleFileName,
	OUT PHANDLE             ModuleHandle);

这个函数和LoadLibrary是一样的效果。这个函数在ntdll.dll中导出:
这里写图片描述

我们能看到,代码就算不依赖任何DLL,程序加载后,还是会有几个DLL会一同加载,而ntdll.dll也在其中;因此思路就有了,只需要程序运行后,找到ntdll.dll然后就能找到LdrLoadDll了。-

##接下来是找ntdll.dll
运行在应用层的程序,通过fs寄存器可以拿到很多TEB中的数据,其中fs:[0x30]是PEB的地址,在PEB地址偏移处0xC的位置,是一个PEB_LDR_DATA结构的地址,PEB_LDR_DATA结构有几个LIST_ENTRY类型的变量,LIST_ENTRY是一个双向链表,这个链表的每一项,都有加载模块的相关信息,每一项都指向LDR_DATA_TABLE_ENTRY结构。在LDR_DATA_TABLE_ENTRY结构中能看到几个有用的信息:

UNICODE_STRING FullDllName;
PVOID DllBase;

FullDllName代表dll的名字,而DllBase就代表dll的加载地址。
由此就能找到我们需要的dll了。

总结一下流程:

Created with Raphaël 2.3.0 fs:[0x30]拿到PEB地址 PEB偏移0xC位置拿到PEB_LDR_DATA地址 PEB_LDR_DATA拿到链表首地址 通过链表拿到LDR_DATA_TABLE_ENTRY地址 判断DLL名字,并获取DLL加载地址

我在这里贴上部分相关结构体的定义,你们会发现我贴上来的和MSDN上的不一样,因为这些结构体是我研究的时候从帖子上复制下来的,写博客的时候发现那帖子不见了。。。

typedef struct _PEB_LDR_DATA {
	ULONG Length;
	BOOL Initialized;
	PVOID SsHandle;
	LIST_ENTRY InLoadOrderModuleList;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LSA_UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR  Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;


typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union
	{
		LIST_ENTRY HashLinks;
		struct
		{
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union
	{
		ULONG TimeDateStamp;
		PVOID LoadedImports;
	};
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

我用以下代码找到了ntdll.dll:
这里写图片描述

找到ntdll.dll后,就要通过导出表来寻找函数的地址。
导出表信息在IMAGE_NT_HEADERS中IMAGE_OPTIONAL_HEADER的IMAGE_DATA_DIRECTORY类型数组的第一个元素中。
然后只要遍历找到LdrLoadDll的地址,这个地址就是内存中这个函数的地址。

知道了如何加载没有的DLL,知道如何去DLL里面找需要函数的地址,就可以不需要导入表了。

代码编译完成后,在Win7 x86的环境下能跑起来,Windows 10 x64跑不起来,因为加载User32.dll的时候,LdrLoadDll返回0xc0000135,暂时我也没找到其他的解决办法。

这里写图片描述

通过 PEB 隐藏导入
VI___
04-16 1236
有时候分析样本查看不到其中的导入,可是没有导入如何调用系统函数呢?这有可能是通过TEB、PEB动态获取,达到隐藏的目的。主要原理是通过FS:[0x30]所指向的PEB结构体入手,得到ntdll.dll或kernel32.dll的基址。 如下新建一个最简单的控制台程序,release编译。 可以看到VC.dll、KERNEL32.dll和其他一些系统函数,其中VC和系统函数可以去掉。 ...
windows pe文件导入隐藏
pureman_mega的博客
06-16 230
假如,需要使用CreateFileA,WriteFileA,CloseHandle等api,我们会通过GetProcAddress来获取其地址,然后保存到自定义的函数原型指针中。但是,这样就会导致每个函数都有一个单独的变量,无法统一管理;分析过一些文件,发现里面都会对引用的api进行动态获取,然后通过内存指针调用。细细想来,这种方法还是有一定的对抗作用的,如果别人想要分析的必须的稍微深入或者动态调试一下。1,动态获取函数地址,统一保存,通过下标(漂移来识别)2,调用时,对函数地址进行函数指针化,完成调用。
PE文件隐藏输入函数
司徒荆的博客
06-20 611
1、输入隐藏的作用,就是让所有的PE查看器找都不到该函数。 2、示例: (1)、编写代码,并编译: #include "stdafx.h" int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmd...
R3隐藏导入
m0_68259687的博客
11-16 678
通过pe文件,我们可以看见IAT导入,在这个中,记录了PE文件的使用以及相关的dll模块我这里在vs2022中用dumpin /imports 命令举例这里我们可以看见,很多api,其中,等api会被重点盯防那么,怎么在导入隐藏这些api呢首先我们使用的方法可以是,不直接调用这些函数,转而从kernel32里面直接找到这些函数的真实加载地址来做到不出现敏感api这里我就不放截图演示导入了,但是同时我们会获得一个疑问那如果杀软连都查,那么怎么办呢。
X64下进程隐藏实现与Debug
笔记本
06-26 3571
之前写过几篇进程隐藏的技术贴,但是在X64下代码没有成功,昨晚深入调试了一会儿发现了问题所在,这里详细探讨下 先贴上完整的Hide.dll的cpp代码: #include "Hide.h" #define SystemProcessInformation 5 #define STATUS_SUCCESS (0x00000000L) #define STATUS_...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
导入excel,处理合并头、复杂头、多行
02-24
提醒框,完毕后会自动隐藏 3.全面扫描Excel数据,将所有异常详细信息写入Excel,返回客户端,提供用户下载。方便修正错误数据。 4.支持大批量数据导入,经本人测试,3千条数据,只需短短2-5秒钟。 5.为正在此烦恼的...
导入地址.zip
06-02
PE文件结构包含了程序运行所需的各种信息,其中包括了导入地址(Import Address Table, 简称IAT)。这个知识点主要集中在程序如何在运行时找到并调用其他模块(如DLL)中的函数。 导入地址是PE文件的一个关键...
动态库隐藏函数
xinyu391的专栏
08-12 748
gcc/g++编译动态库时,默认所有函数都是导出的,就是在便好的so文件中,能够看到函数: $readelf -s libxxx.so Symbol table '.dynsym' contains 1188 entries: Num: Value Size Type Bind Vis Ndx Name 0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND 1: 000000000
隐藏方块导入.zip
04-30
在压缩包"隐藏方块导入.zip"中,没有具体的文件名列,但我们可以根据常见的实践推测其中可能包含的内容: 1. **源代码文件**:如果这是一个开发项目的一部分,那么压缩包可能包含各种编程语言的源代码文件,如`....
[系统安全] PE文件知识在免杀中的应用
ztc131450的博客
11-16 905
启发特征:最后一个区段为代码段。这会引发“异常的入口点”。如果入口点被定位在了非正常的代码段上,则会被启发式扫描引擎查杀。
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
hzw320的博客
04-19 2430
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏的DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏的dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
TLS 回调中挂钩 LdrLoadDll 实现监视模块加载过程
溡漪幽博客
01-24 1938
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块加载过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
DLL注入相关
kernweak的博客
06-02 694
DLL是通过问卷映射实现,只占一个内存空间,每个DLL收到一份映像,DLL被加载之后系统页面文件明显变大,内存使用明显变大。 DLL引用分显示隐式 如果有lib+dll+头文件 则:建工程的时候选择导出符号 #pragma comment(lib, “libname.lib”) #include “libname.h” func(); 只有DLL文件 LoadLibrary Ge...
64位Shellcode方式注入DLL
IT男也疯狂
07-18 1070
挟持NTDLL的API进行的远程注入DLL,支持主动启动进程方式加载
一、C++反作弊对抗实战 (基础篇 —— 6.利用LdrLoadDll远程线程注入DLL)
Koma的主页
03-02 1382
利用LdrLoadDll远程注入DLL(支持x32与x64)
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 405
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
几个重要的函数
kwonsir的专栏
10-14 1966
几个重要的函数: [特别划来的几个底层函数很有用,有公开的、也有没公开的,有用就收起来] ±        NtQueryDirectoryFile±        在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。NTSTATUS NtQueryDirectoryFile(
基于c函数导入隐藏
最新发布
11-25
在C语言中,直接操作Excel或PDF的格内容并隐藏特定的项通常是不可能的,因为标准C库并没有提供这些高级功能。大多数C程序会通过操作系统调用或者使用外部库来处理电子格格式。 如果你想从一个现有的Excel文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值