擦除模块痕迹

最新推荐文章于 2022-11-29 11:10:53 发布
最新推荐文章于 2022-11-29 11:10:53 发布
阅读量1.6k 收藏
点赞数
分类专栏: 逆向工程 文章标签: struct module parameters list string dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lsaturn/article/details/924804
版权

对于擦除模块痕迹,我实验了两种方法,下面一一阐述:

1.修改PEB结构,用代码说话

typedef  struct  _PEB_LDR_DATA
  {
  ULONG               Length;
  BOOLEAN             Initialized;
  BYTE    reserved[3];
  PVOID               SsHandle;
  LIST_ENTRY          InLoadOrderModuleList;
  LIST_ENTRY          InMemoryOrderModuleList;
  LIST_ENTRY          InInitializationOrderModuleList;
 }  PEB_LDR_DATA,  * PPEB_LDR_DATA;

 typedef  struct  _UNICODE_STRING
  {
  USHORT Length;
  USHORT MaximumLength;
  PWSTR Buffer;
 }  UNICODE_STRING,  * PUNICODE_STRING;

 typedef  struct  _LDR_MODULE  {
  LIST_ENTRY InLoadOrderModuleList;
  LIST_ENTRY InMemoryOrderModuleList;
  LIST_ENTRY InInitializationOrderModuleList;
  PVOID BaseAddress;
  PVOID EntryPoint;
  ULONG SizeOfImage;
  UNICODE_STRING FullDllName;
  UNICODE_STRING BaseDllName;
  ULONG Flags;
  SHORT LoadCount;
  SHORT TlsIndex;
  LIST_ENTRY HashTableEntry;
  ULONG TimeDateStamp;
 }  LDR_MODULE,  * PLDR_MODULE;


 typedef  struct  RTL_DRIVE_LETTER_CURDIR
  {
  USHORT              Flags;
  USHORT              Length;
  ULONG               TimeStamp;
  UNICODE_STRING      DosPath;
 }  RTL_DRIVE_LETTER_CURDIR,  * PRTL_DRIVE_LETTER_CURDIR;

 typedef  struct  _RTL_USER_PROCESS_PARAMETERS
  {
  ULONG               AllocationSize;
  ULONG               Size;
  ULONG               Flags;
  ULONG               DebugFlags;
  HANDLE              hConsole;
  ULONG               ProcessGroup;
  HANDLE              hStdInput;
  HANDLE              hStdOutput;
  HANDLE              hStdError;
  UNICODE_STRING      CurrentDirectoryName;
  HANDLE              CurrentDirectoryHandle;
  UNICODE_STRING      DllPath;
  UNICODE_STRING      ImagePathName;
  UNICODE_STRING      CommandLine;
  PWSTR               Environment;
  ULONG               dwX;
  ULONG               dwY;
  ULONG               dwXSize;
  ULONG               dwYSize;
  ULONG               dwXCountChars;
  ULONG               dwYCountChars;
  ULONG               dwFillAttribute;
  ULONG               dwFlags;
  ULONG               wShowWindow;
  UNICODE_STRING      WindowTitle;
  UNICODE_STRING      Desktop;
  UNICODE_STRING      ShellInfo;
  UNICODE_STRING      RuntimeInfo;
  RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];
 }  RTL_USER_PROCESS_PARAMETERS,  * PRTL_USER_PROCESS_PARAMETERS;

 typedef VOID (_stdcall  * PPEBLOCKROUTINE)(PVOID);

 typedef  struct  _PEB_FREE_BLOCK
  {
  struct _PEB_FREE_BLOCK* Next;
  ULONG Size;
 }  PEB_FREE_BLOCK,  * PPEB_FREE_BLOCK;

  struct  _NT_PEB 
  {
  BOOLEAN InheritedAddressSpace;
  BOOLEAN ReadImageFileExecOptions;
  BOOLEAN BeingDebugged;
  BOOLEAN Spare;
  HANDLE Mutant;
  PVOID ImageBaseAddress;
  PPEB_LDR_DATA LoaderData;
  PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
  PVOID SubSystemData;
  PVOID ProcessHeap;
  PVOID FastPebLock;
  PPEBLOCKROUTINE FastPebLockRoutine;
  PPEBLOCKROUTINE FastPebUnlockRoutine;
  ULONG EnvironmentUpdateCount;
  PVOID *KernelCallbackTable;
  PVOID EventLogSection;
  PVOID EventLog;
  PPEB_FREE_BLOCK FreeList;
  ULONG TlsExpansionCounter;
  PVOID TlsBitmap;
  ULONG TlsBitmapBits[0x2];
  PVOID ReadOnlySharedMemoryBase;
  PVOID ReadOnlySharedMemoryHeap;
  PVOID *ReadOnlyStaticServerData;
  PVOID AnsiCodePageData;
  PVOID OemCodePageData;
  PVOID UnicodeCaseTableData;
  ULONG NumberOfProcessors;
  ULONG NtGlobalFlag;
  BYTE Spare2[0x4];
  LARGE_INTEGER CriticalSectionTimeout;
  ULONG HeapSegmentReserve;
  ULONG HeapSegmentCommit;
  ULONG HeapDeCommitTotalFreeThreshold;
  ULONG HeapDeCommitFreeBlockThreshold;
  ULONG NumberOfHeaps;
  ULONG MaximumNumberOfHeaps;
  PVOID **ProcessHeaps;
  PVOID GdiSharedHandleTable;
  PVOID ProcessStarterHelper;
  PVOID GdiDCAttributeList;
  PVOID LoaderLock;
  ULONG OSMajorVersion;
  ULONG OSMinorVersion;
  ULONG OSBuildNumber;
  ULONG OSPlatformId;
  ULONG ImageSubSystem;
  ULONG ImageSubSystemMajorVersion;
  ULONG ImageSubSystemMinorVersion;
  ULONG GdiHandleBuffer[0x22];
  ULONG PostProcessInitRoutine;
  ULONG TlsExpansionBitmap;
  BYTE TlsExpansionBitmapBits[0x80];
  ULONG SessionId;
 } ;

 typedef  struct  _CLIENT_ID
  {
  HANDLE UniqueProcess;
  HANDLE UniqueThread;
 }  CLIENT_ID,  * PCLIENT_ID;

 typedef  struct  _GDI_TEB_BATCH
  {
  ULONG Offset;
  ULONG HDC;
  ULONG Buffer[0x136];
 }  GDI_TEB_BATCH,  * PGDI_TEB_BATCH;

  struct  _NT_TEB
  {
  NT_TIB Tib;                         /* 00h */
  PVOID EnvironmentPointer;           /* 1Ch */
  CLIENT_ID Cid;                      /* 20h */
  PVOID ActiveRpcInfo;                /* 28h */
  PVOID ThreadLocalStoragePointer;    /* 2Ch */
  _NT_PEB *Peb;                       /* 30h */
  ULONG LastErrorValue;               /* 34h */
  ULONG CountOfOwnedCriticalSections; /* 38h */
  PVOID CsrClientThread;              /* 3Ch */
  void* Win32ThreadInfo;    /* 40h */
  ULONG Win32ClientInfo[0x1F];        /* 44h */
  PVOID WOW32Reserved;                /* C0h */
  LCID CurrentLocale;                 /* C4h */
  ULONG FpSoftwareStatusRegister;     /* C8h */
  PVOID SystemReserved1[0x36];        /* CCh */
  PVOID Spare1;                       /* 1A4h */
  LONG ExceptionCode;                 /* 1A8h */
  UCHAR SpareBytes1[0x28];            /* 1ACh */
  PVOID SystemReserved2[0xA];         /* 1D4h */
  GDI_TEB_BATCH GdiTebBatch;          /* 1FCh */
  ULONG gdiRgn;                       /* 6DCh */
  ULONG gdiPen;                       /* 6E0h */
  ULONG gdiBrush;                     /* 6E4h */
  CLIENT_ID RealClientId;             /* 6E8h */
  PVOID GdiCachedProcessHandle;       /* 6F0h */
  ULONG GdiClientPID;                 /* 6F4h */
  ULONG GdiClientTID;                 /* 6F8h */
  PVOID GdiThreadLocaleInfo;          /* 6FCh */
  PVOID UserReserved[5];              /* 700h */
  PVOID glDispatchTable[0x118];       /* 714h */
  ULONG glReserved1[0x1A];            /* B74h */
  PVOID glReserved2;                  /* BDCh */
  PVOID glSectionInfo;                /* BE0h */
  PVOID glSection;                    /* BE4h */
  PVOID glTable;                      /* BE8h */
  PVOID glCurrentRC;                  /* BECh */
  PVOID glContext;                    /* BF0h */
  LONG LastStatusValue;    /* BF4h */
  UNICODE_STRING StaticUnicodeString; /* BF8h */
  WCHAR StaticUnicodeBuffer[0x105];   /* C00h */
  PVOID DeallocationStack;            /* E0Ch */
  PVOID TlsSlots[0x40];               /* E10h */
  LIST_ENTRY TlsLinks;                /* F10h */
  PVOID Vdm;                          /* F18h */
  PVOID ReservedForNtRpc;             /* F1Ch */
  PVOID DbgSsReserved[0x2];           /* F20h */
  ULONG HardErrorDisabled;            /* F28h */
  PVOID Instrumentation[0x10];        /* F2Ch */
  PVOID WinSockData;                  /* F6Ch */
  ULONG GdiBatchCount;                /* F70h */
  USHORT Spare2;                      /* F74h */
  BOOLEAN IsFiber;                    /* F76h */
  UCHAR Spare3;                       /* F77h */
  ULONG Spare4;                       /* F78h */
  ULONG Spare5;                       /* F7Ch */
  PVOID ReservedForOle;               /* F80h */
  ULONG WaitingOnLoaderLock;          /* F84h */
  ULONG Unknown[11];                  /* F88h */
  PVOID FlsSlots;                     /* FB4h */
  PVOID WineDebugInfo;                /* Needed for WINE DLL's  */
 } ;

  static   struct  _NT_TEB *  GetCurrentThreadTEB()                      // 获得TEB
  {
  struct _NT_TEB *pTeb=NULL;

  _asm
  {
   mov  eax,fs:[0x18]
   mov  pTeb,eax
  }
  return pTeb;
 }

  void  HideModule(std:: string  strModuleName)
  {
  struct _NT_TEB *pTeb = GetCurrentThreadTEB();
  struct _NT_PEB *pPeb = pTeb->Peb;                                //由TEB获得PEB
  PPEB_LDR_DATA pLdrData = pPeb->LoaderData;
  PLDR_MODULE pFirstLdrModule = (PLDR_MODULE)pLdrData->InLoadOrderModuleList.Flink; 
  PLDR_MODULE pLdrModule = pFirstLdrModule;
  PLDR_MODULE pLastModule,pNextModule;

  //名字通通转为WideChar,因此Windows内部是Unicode的
  WCHAR pWStrModuleName[MAX_PATH] = {WCHAR(0)};
  MultiByteToWideChar(CP_ACP,0,strModuleName.c_str(), -1,pWStrModuleName,strModuleName.size()); 

  //PEB里面有当前进程的模块列表,ToolHelp里面的函数就是根据这个列表来遍历的因此,修改此列表可以达到隐藏的目的
  do 
  {
   //判断是否是我们要屏蔽的模块
   if(wcscmp(pLdrModule->BaseDllName.Buffer, pWStrModuleName) == 0)
   {
    //更改指针,达到隐藏的目的
    pLastModule = (PLDR_MODULE)(pLdrModule->InLoadOrderModuleList.Blink);
    pNextModule = (PLDR_MODULE)(pLdrModule->InLoadOrderModuleList.Flink);
    pLastModule->InLoadOrderModuleList.Flink = (PLIST_ENTRY)pNextModule;
    pNextModule->InLoadOrderModuleList.Blink = (PLIST_ENTRY)pLastModule;

    //因为PEB里面有三个列表(分别是以Load顺序、地址顺序、初始化顺序来排序),所以通过覆盖的方式修改另外两个列表,达到隐藏的目的
    pLdrModule->BaseAddress = pLastModule->BaseAddress;
    pLdrModule->BaseDllName = pLastModule->BaseDllName;
    pLdrModule->EntryPoint = pLastModule->EntryPoint;
    pLdrModule->Flags = pLastModule->Flags;
    pLdrModule->FullDllName = pLastModule->FullDllName;
    pLdrModule->HashTableEntry = pLastModule->HashTableEntry;
    pLdrModule->LoadCount = pLastModule->LoadCount;
    pLdrModule->SizeOfImage = pLastModule->SizeOfImage;
    pLdrModule->TimeDateStamp = pLastModule->TimeDateStamp;
    pLdrModule->TlsIndex = pLastModule->TlsIndex;
   }
   pLdrModule = (PLDR_MODULE)pLdrModule->InLoadOrderModuleList.Flink;

  } while(pLdrModule != pFirstLdrModule);
 }

 2.手动完成dll的加载:刚开始研究手动加载的时候觉得比较复杂,但是通过实践之后,其实还是很简单的,代码比较长这里就不详加叙述了,我就用下面几个步骤来分别叙述:

  • 首先要分配一个空间给dll,可以根据PE结构里面的SizeOfImage来分配;
  • 然后把dll加载到分配的空间里面去,需要注意的是不能单纯拷贝,对于每个Section而言,需要安排到Section列表里面指定的虚拟地址偏移里面去(即RAV + 分配到的空间开始地址<可以称为模块句柄>);
  • 然后要做的就是完成IAT的填写(根据INT)以及重定位表的处理
  • ok,打完收工(还有些比较复杂的处理我还不太明白,比如TLS,努力学习中)

    因为手动加载dll没有经过系统的干涉,所以上面的PEB结构里面也就不会有相应的模块结构,也就达到了隐藏的目的。

图像文本擦除痕迹!复旦提出EAFormer:最新场景文本分割新SOTA!(ECCV`24)
AIGCer的博客
08-12 1593
为了避免涉及非文本区域的边缘,引入了一个轻量级文本检测模块,用于过滤掉无用的边缘,以进行文本分割。如图5所示,所提出的EAFormer在文本边缘的表现优于之前的方法,这得益于引入的边缘信息。尽管上表3表明,当使用重新标注的数据集进行训练和测试时,本文的方法性能有所下降,但下图5中的可视化结果表明,本文的模型在重新标注的数据集上能够实现更好的分割结果。尽管PGTSNet已经意识到文本边缘的重要性,并使用了二元交叉熵损失来检测文本边缘的像素,但它未能明确地将易于获取的文本边缘信息作为输入信息之一。
修改程序的peb过某些防火墙
天使的薄荷
01-21 1404
现在自己构造数据包进行发送已经不是很现实了,简单的数据还行,如果是大的数据,比如发送一个文件,比如不停的和外界的服务器保持联系,都是很不方便的,所以找到了一个方法,就是将程序的peb修改成和某些系统进程一样的peb,这样就在一定程度上伪装成了系统进程,这里以lsass.exe为例。有关peb的资料请自己查相关资料,或者是好好看看 windows核心编程,windows程序设计。首先声明相关的结
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 2082
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
关于进程PEB结构的修改实现
eaglenet的专栏
02-18 4792
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:
DLL隐藏技术(抹链)
Arbboter的专栏
07-29 1万+
#include "HideDLL.h" #include DWORD g_dwImageSize = 0; VOID* g_lpNewImage = NULL; /************************************************************************/ /* 把当前进程的所有DLL都使用LoadLibrary再次加载一边,增加引用计
win10 x64实现内存注入DLL
weixin_41725706的博客
11-29 2713
win10 x64内存注入DLL,可以躲避相关api检测模块
【旧文章搬运】获取并修改PEB中的映像路径,命令行和当前目录
weixin_30709929的博客
12-26 334
原文发表于百度空间,2008-7-24 当时对UNICODE_STRING的使用还有点问题,导致最终效果图中字符串被截断了========================================================================== 先从分析PEB开始吧.感觉分析这个东西,首先要把类型定义搞清楚,这个在Windbg里dt _PEB就可以了搞清楚定义主要是为...
计算机使用痕迹深度检查擦除工具源码
08-22
标题中的“计算机使用痕迹深度检查擦除工具源码”指的是一个专门用于清除计算机使用痕迹的软件的源代码。这样的工具通常包含多个功能模块,旨在帮助用户保护隐私,防止个人信息泄露,通过深度扫描和清理计算机系统中...
360磁盘痕迹擦除
01-12
360单独的磁盘痕迹擦除器,用于彻底擦除整个硬盘文件,比什么粉碎机更可靠,擦除后,能找回的几率为0 现在360貌似没有这个模块了,现在单独放出来给大家使用。
软件试用大师3.0 - 时光驻留与痕迹擦除完美结合
2. 痕迹擦除器(Trace Eraser):软件过期后,会留下使用痕迹,这可能包括注册表项、用户设置文件以及系统文件的修改等。痕迹擦除器的功能就是清理这些痕迹,使得系统恢复到未安装该软件之前的状态,从而可以重新...
计算机痕迹深度检查与擦除工具源码解析
计算机使用痕迹深度检查擦除工具是专门用于深度清理计算机使用过程中产生的痕迹。这类痕迹可能包括但不限于系统日志、临时文件、浏览器记录、下载记录、缓存文件、系统文件记录、应用程序使用痕迹、USB设备使用记录...
C++ 反反调试(PEB)
LYSM
09-10 1020
PEB 反调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 _PEB 结构体中的位置,可以发现 01、70 这两个标志(注意这里 main函数还没开始运行,所以程序不会退出,只有当你第一次点击 “运行” 时才会执行到 main,检测代码才会有...
32位 64位 获得进程peb的方法
aijuzhou1959的博客
02-14 627
基于上一篇文章,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
peClean (清除PE中的无用数据
04-06 3135
以LordPE和OD成功加载为基础,清除PE部中的“垃圾”数据实际情况可能没多大用处,昨天晚上想温习一下PE的格式就写了这个使用时把PE文件拖进对话框即可xp sp2 + VC6附件:peclean.rar#include "PeClean.h"DWORD IsPE(HANDLE hFile){  char  ReadBuffer[4];  DWORD  dwRead;  DWORD  dwO
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT->可选->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
Windows NT引导过程源代码分析(二)
hnzwx888的专栏
06-20 1293
转载自:https://blog.csdn.net/cosmoslife/article/details/7855425 1.2内核初始化 内核的初始化主要是内核各个组件的初始化,但由于这些内核组件之间有紧密的耦合关系,所以它们的初始化并不是简单地顺序执行初始化。为了解决在初始化过程中的相互依赖性问题,内核的初始化分两个阶段进行,称为阶段0和阶段1。大多数内核组件的初始化函数相应地带有...
PEB中获取指定名称的DLL的基址
whowho的专栏
06-02 1120
//先从PEB中获取指定名称的DLL的基址 ULONG GetModuleHandleFromProcessPEB(ULONG Peb,char *szDllName) {  PPEB_LDR_DATA pLdrData;  PLDR_DATA_TABLE_ENTRY pLdrDataEntry;  PLIST_ENTRY pListHead,pListNext;  ANSI_STRI
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值