隐藏dll

最新推荐文章于 2023-11-08 18:05:53 发布
最新推荐文章于 2023-11-08 18:05:53 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: windows api 学习心得 文章标签: dll module string struct list buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fanpeii/article/details/6171698
本文介绍了一种在Windows环境下隐藏DLL的方法,通过直接操作PEB_LDR_DATA结构中的LDR_MODULE链表来实现DLL的隐藏,避免被常规手段检测到。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是一段隐藏dll的代码。

 

#include<windows.h>

typedef struct _UNICODE_STRING {
  USHORT   Length;
  USHORT   MaximumLength;
   PWSTR   Buffer;
} UNICODE_STRING,*PUNICODE_STRING;

typedef struct _PEB_LDR_DATA
{
 ULONG Length;
 BOOLEAN Initialized;
 PVOID SsHandle;
 LIST_ENTRY InLoadOrderModuleList;
 LIST_ENTRY InMemoryOrderModuleList;
 LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE
{
 LIST_ENTRY InLoadOrderModuleList; 
 LIST_ENTRY InMemoryOrderModuleList; 
 LIST_ENTRY InInitializationOrderModuleList;
 PVOID BaseAddress;
 PVOID EntryPoint; 
 ULONG SizeOfImage;
 UNICODE_STRING FullDllName; 
 UNICODE_STRING BaseDllName; 
 ULONG Flags; 
 SHORT LoadCount;
 SHORT TlsIndex; 
 LIST_ENTRY HashTableEntry;
 ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

void HideDll2()
{
    HMODULE hMod = ::GetModuleHandle("123.dll");
    PLIST_ENTRY Head,Cur;
    PPEB_LDR_DATA ldr;
    PLDR_MODULE ldm;
    __asm
    {
        mov eax , fs:[0x30]
        mov ecx , [eax + 0x0c] //Ldr
        mov ldr , ecx
    }
    Head = &(ldr->InLoadOrderModuleList);
    Cur = Head->Flink;
    do
    {
        ldm = CONTAINING_RECORD( Cur, LDR_MODULE, InLoadOrderModuleList);
        //printf("EntryPoint [0x%X]/n",ldm->BaseAddress);
        if( hMod == ldm->BaseAddress)
         {
            ldm->InLoadOrderModuleList.Blink->Flink =
                ldm->InLoadOrderModuleList.Flink;
            ldm->InLoadOrderModuleList.Flink->Blink =
                ldm->InLoadOrderModuleList.Blink;
            ldm->InInitializationOrderModuleList.Blink->Flink =
                ldm->InInitializationOrderModuleList.Flink;
            ldm->InInitializationOrderModuleList.Flink->Blink =
                ldm->InInitializationOrderModuleList.Blink; 
            ldm->InMemoryOrderModuleList.Blink->Flink =
                ldm->InMemoryOrderModuleList.Flink;
            ldm->InMemoryOrderModuleList.Flink->Blink =
                ldm->InMemoryOrderModuleList.Blink; 
            break;
         }
        Cur= Cur->Flink;
     }while(Head != Cur);
}

隐藏DLL模块( HideDll)
weixin_33859665的博客
07-05 3674
void HideDll() { HMODULE hMod = ::GetModuleHandle("MyHook.dll"); PLIST_ENTRY Head,Cur; PPEB_LDR_DATA ldr; PLDR_MODULE ldm; __asm { mov eax , fs:[0x30] ...
DLL的注入与隐藏.zip
03-11
很多被Tx保护的进程被注入DLL后可以在进程里检测到,我们要做的就是注入完成把DLL文件给隐藏掉 从而实现躲避检测的效果,具体可以自己实践一下, 模块功能由 某论坛VIP模块中反编译的一部分功能,非常实用。...
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
隐藏DLL
weixin_33694172的博客
03-28 290
先来推广一下QQ群:61618925。欢迎各位爱好编程的加入。 在外挂或者病毒中,经常需要隐藏掉自己注入的DLL,以免被发现。下面就是一个隐藏DLL的通用模块,用的时候只需要加入到相关模块中即可。 详细代码如下: #include <iostream> using namespace std; void HideModule(char *szModule) { ...
进程中dll模块的隐藏
xyblack技术地带
06-03 848
cc682/NetRoc http://netroc682.spaces.live.com/ 为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。 我们可以先简单看看Windows枚举进程内模块的办法吧: 首
C#和Halcon二次开发如何隐藏dll引用库,如何隐藏Debug或Release目录下的dll
最新发布
08-07
C#和Halcon二次开发如何隐藏dll引用库,如何隐藏Debug或Release目录下的dll
16-memLoadDll 内存加载DLL 隐藏dll 代码.zip_DLL加载内存_Dll隐藏_MemLoadDll_内存加载
07-15
memLoadDll 内存加载DLL 隐藏dll 代码
汇编隐藏dll模块支持库源码
06-02
本文将详细解析标题中的“汇编隐藏dll模块支持库源码”所涉及的知识点。 首先,我们需要了解DLL(Dynamic Link Library)。DLL是Windows操作系统中的一个关键组成部分,它是一组可执行代码和数据,可以被多个应用...
DLL隐藏技术(抹链)
07-29
原理就是Load ,保存一份,Free,把备份的粘贴回来,就断链了,这样做的好处是方便。断链也是可以的。
DLL的注入与隐藏
12-26
易语言的dll注入与隐藏,是易语言源代码~~有兴趣的朋友可以去看看
隐藏DLL进程的实例(用于木马后果自负)
02-06
隐藏DLL进程的实例(用于木马后果自负),这个是DLL的,exe的是另外一个
易语言实现DLL的注入 与 隐藏源码
06-06
很多被Tx保护的进程被注入DLL后可以在进程里检测到,我们要做的就是注入完成把DLL文件给隐藏掉 从而实现躲避检测的效果,具体可以自己实践一下, 模块功能由 某论坛VIP模块中反编译的一部分功能,非常实用。。如图:在XT工具当中可以看到被隐藏DLL显示为红色 就代表成功了!。@蓝颜2。
DLL隐藏和逆向
m0_75243362的博客
11-08 2557
DLL注入新手详解示例
内核中劫持线程注入DLL隐藏
人生苦短,我用python
04-18 1842
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
dll作为资源隐藏在进程中
上帝狼
01-14 1277
*****************************************************************/BOOL CICCardCtrl::LoadDll(){    HRSRC hResInfo;HGLOBAL hRes;HINSTANCE hInst;    // 查找DLL资源 hInst = AfxGetInstanceHandle();hResInfo = F
c语言断链隐藏dll,通过断链隐藏模块(DLL)
weixin_39658900的博客
05-20 868
主要是通过teb+peb实现模块隐藏// HideDll.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include DWORD g_isHide = 0;typedef struct _UNICODE_STRING{USHORT Length;U...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值