如何隐藏导入表

已于 2024-10-28 20:41:18 修改
阅读量1.1k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: windows c++
于 2017-11-11 15:25:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dybb8999/article/details/78506737
本文探讨了如何隐藏PE文件的导入表,通过修改PE结构并利用LdrLoadDll函数动态加载DLL。通过研究PEB和LDR_DATA_TABLE_ENTRY结构,找到了在没有导入表的情况下调用DLL函数的方法。然而,这种方法在不同操作系统环境下可能存在兼容性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当有人问我这个问题的时候,我真的是一脸懵逼,我只知道编译的时候尽量少的引用dll可以减少导入表的量。

后来尝试一个正常的程序,将PE结构的导入表大小和位置全部设置为0:
该程序只负责调用MessageBox(实际是MessaheBoxW,或者MessageBoxA,但是大家都懂,不作区分):
这里写图片描述

正常的导入表

将导入表RVA和大小设置为0

然后运行,炸掉了,很正常:
这里写图片描述

看来不会是一个特别简单的问题。

经过研究,是要通过PEB来自己找了。首先看这个程序依赖的DLL:
这里写图片描述

由于MessageBox是User32.dll导出的,所以,会依赖User32.dll,为了尽量减少DLL依赖,因此重新写一段代码:
重新写的代码
这段代码,设置了入口点,并将编译器优化关掉。

编译后重新看依赖DLL:
这里写图片描述
这里写图片描述

好了至此导入表没了,那我们怎么调用其它的函数呢?
使用OD加载后,查看可执行模块:
这里写图片描述

发现默认就有几个dll。这时候就有一个关键的函数LdrLoadDll,该函数声明如下:

NTSTATUS NTAPI LdrLoadDll(
	IN PWCHAR               PathToFile OPTIONAL,
	IN ULONG                Flags OPTIONAL,
	IN PUNICODE_STRING      ModuleFileName,
	OUT PHANDLE             ModuleHandle);

这个函数和LoadLibrary是一样的效果。这个函数在ntdll.dll中导出:
这里写图片描述

我们能看到,代码就算不依赖任何DLL,程序加载后,还是会有几个DLL会一同加载,而ntdll.dll也在其中;因此思路就有了,只需要程序运行后,找到ntdll.dll然后就能找到LdrLoadDll了。-

##接下来是找ntdll.dll
运行在应用层的程序,通过fs寄存器可以拿到很多TEB中的数据,其中fs:[0x30]是PEB的地址,在PEB地址偏移处0xC的位置,是一个PEB_LDR_DATA结构的地址,PEB_LDR_DATA结构有几个LIST_ENTRY类型的变量,LIST_ENTRY是一个双向链表,这个链表的每一项,都有加载模块的相关信息,每一项都指向LDR_DATA_TABLE_ENTRY结构。在LDR_DATA_TABLE_ENTRY结构中能看到几个有用的信息:

UNICODE_STRING FullDllName;
PVOID DllBase;

FullDllName代表dll的名字,而DllBase就代表dll的加载地址。
由此就能找到我们需要的dll了。

总结一下流程:

Created with Raphaël 2.3.0 fs:[0x30]拿到PEB地址 PEB偏移0xC位置拿到PEB_LDR_DATA地址 PEB_LDR_DATA拿到链表首地址 通过链表拿到LDR_DATA_TABLE_ENTRY地址 判断DLL名字,并获取DLL加载地址

我在这里贴上部分相关结构体的定义,你们会发现我贴上来的和MSDN上的不一样,因为这些结构体是我研究的时候从帖子上复制下来的,写博客的时候发现那帖子不见了。。。

typedef struct _PEB_LDR_DATA {
	ULONG Length;
	BOOL Initialized;
	PVOID SsHandle;
	LIST_ENTRY InLoadOrderModuleList;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LSA_UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR  Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;


typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union
	{
		LIST_ENTRY HashLinks;
		struct
		{
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union
	{
		ULONG TimeDateStamp;
		PVOID LoadedImports;
	};
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

我用以下代码找到了ntdll.dll:
这里写图片描述

找到ntdll.dll后,就要通过导出表来寻找函数的地址。
导出表信息在IMAGE_NT_HEADERS中IMAGE_OPTIONAL_HEADER的IMAGE_DATA_DIRECTORY类型数组的第一个元素中。
然后只要遍历找到LdrLoadDll的地址,这个地址就是内存中这个函数的地址。

知道了如何加载没有的DLL,知道如何去DLL里面找需要函数的地址,就可以不需要导入表了。

代码编译完成后,在Win7 x86的环境下能跑起来,Windows 10 x64跑不起来,因为加载User32.dll的时候,LdrLoadDll返回0xc0000135,暂时我也没找到其他的解决办法。

这里写图片描述

PE文件隐藏输入函数
司徒荆的博客
06-20 610
1、输入隐藏的作用,就是让所有的PE查看器找都不到该函数。 2、示例: (1)、编写代码,并编译: #include "stdafx.h" int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmd...
动态库隐藏函数
xinyu391的专栏
08-12 748
gcc/g++编译动态库时,默认所有函数都是导出的,就是在便好的so文件中,能够看到函数: $readelf -s libxxx.so Symbol table '.dynsym' contains 1188 entries: Num: Value Size Type Bind Vis Ndx Name 0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND 1: 000000000
通过 PEB 隐藏导入
VI___
04-16 1236
有时候分析样本查看不到其中的导入,可是没有导入如何调用系统函数呢?这有可能是通过TEB、PEB动态获取,达到隐藏的目的。主要原理是通过FS:[0x30]所指向的PEB结构体入手,得到ntdll.dll或kernel32.dll的基址。 如下新建一个最简单的控制台程序,release编译。 可以看到VC.dll、KERNEL32.dll和其他一些系统函数,其中VC和系统函数可以去掉。 ...
windows pe文件导入隐藏
pureman_mega的博客
06-16 227
假如,需要使用CreateFileA,WriteFileA,CloseHandle等api,我们会通过GetProcAddress来获取其地址,然后保存到自定义的函数原型指针中。但是,这样就会导致每个函数都有一个单独的变量,无法统一管理;分析过一些文件,发现里面都会对引用的api进行动态获取,然后通过内存指针调用。细细想来,这种方法还是有一定的对抗作用的,如果别人想要分析的必须的稍微深入或者动态调试一下。1,动态获取函数地址,统一保存,通过下标(漂移来识别)2,调用时,对函数地址进行函数指针化,完成调用。
R3隐藏导入
m0_68259687的博客
11-16 675
通过pe文件,我们可以看见IAT导入,在这个中,记录了PE文件的使用以及相关的dll模块我这里在vs2022中用dumpin /imports 命令举例这里我们可以看见,很多api,其中,等api会被重点盯防那么,怎么在导入隐藏这些api呢首先我们使用的方法可以是,不直接调用这些函数,转而从kernel32里面直接找到这些函数的真实加载地址来做到不出现敏感api这里我就不放截图演示导入了,但是同时我们会获得一个疑问那如果杀软连都查,那么怎么办呢。
X64下进程隐藏实现与Debug
笔记本
06-26 3568
之前写过几篇进程隐藏的技术贴,但是在X64下代码没有成功,昨晚深入调试了一会儿发现了问题所在,这里详细探讨下 先贴上完整的Hide.dll的cpp代码: #include "Hide.h" #define SystemProcessInformation 5 #define STATUS_SUCCESS (0x00000000L) #define STATUS_...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
导入excel,处理合并头、复杂头、多行
02-24
提醒框,完毕后会自动隐藏 3.全面扫描Excel数据,将所有异常详细信息写入Excel,返回客户端,提供用户下载。方便修正错误数据。 4.支持大批量数据导入,经本人测试,3千条数据,只需短短2-5秒钟。 5.为正在此烦恼的...
导入地址.zip
06-02
PE文件结构包含了程序运行所需的各种信息,其中包括了导入地址(Import Address Table, 简称IAT)。这个知识点主要集中在程序如何在运行时找到并调用其他模块(如DLL)中的函数。 导入地址是PE文件的一个关键...
隐藏方块导入.zip
04-30
在压缩包"隐藏方块导入.zip"中,没有具体的文件名列,但我们可以根据常见的实践推测其中可能包含的内容: 1. **源代码文件**:如果这是一个开发项目的一部分,那么压缩包可能包含各种编程语言的源代码文件,如`....
[系统安全] PE文件知识在免杀中的应用
ztc131450的博客
11-16 902
启发特征:最后一个区段为代码段。这会引发“异常的入口点”。如果入口点被定位在了非正常的代码段上,则会被启发式扫描引擎查杀。
红队开发基础-基础免杀
include_voidmain的博客
06-28 1054
红队开发基础-基础免杀
C++ 中实现数据隐藏的方法
最新发布
Bigkinder的博客
12-12 303
数据隐藏是面向对象编程的重要特性,它确保对象的内部状态只能通过受控的接口访问,从而提高代码的安全性和可维护性。通过这些方式,C++ 程序员可以有效地保护类的内部数据,同时提供清晰的访问接口以满足外部需求。
易语言编程-x64驱动强制隐藏DLL模块技术(过第三方dll检测)
hzw320的博客
04-19 2426
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。并且隐藏后,任何驱动工具(包括CE工具)都无法查看枚举被隐藏的DLL文件以及找不到DLL内存区域,就算是有保护的游戏比如 dxf ,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。.参数 模块句柄, 长整数型, , 要隐藏的dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
探讨VMP 2.12.3 导入修复
weixin_30826095的博客
04-02 492
壳版本:VMProtect.Ultimate.2.12.3 样本:notepad.exe 目的:IAT修复 作者:MrWrong 标题:探讨VMP 2.12.3 导入修复 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! 由于仅是对VMP壳的导入加密进行较为肤浅地探讨,所以对样本notepad的加VMP壳时,资源保护并未选择,也并未对OEP进行偷取或对其VM(虚拟...
如何隐藏DLL的导出接口
ITLionWoo的专栏
05-11 2778
如何你希望优化你DLL的最终生成大小,在每一个导出函数中使用NONAME属性。增加了这个属性明你只希望保留DLL导出中顺序,不希望让别人看到你导出的函数名。 EXPORTS         fnHideExportingFunctions@ 1 NONAME         fnHideExportingFunctions1@ 2 NONAME        
如何隐藏DLL的导出函数
cdpc0202的专栏
08-05 2842
估计有时你不想暴露所有的导出函数,导出一个类有时候更是不安全的。以下这样做是否可以?DLL中定义一个基类class IInterface{    public:    virtual void DFun1() = 0;    virtual void DFun2() = 0;    //…… }导出类从这个基类派生//Driver.h
基于c函数导入隐藏
11-25
在C语言中,直接操作Excel或PDF的格内容并隐藏特定的项通常是不可能的,因为标准C库并没有提供这些高级功能。大多数C程序会通过操作系统调用或者使用外部库来处理电子格格式。 如果你想从一个现有的Excel文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值