首页
社区
课程
招聘
[求助]再问输入表隐藏相关问题
发表于: 2010-4-15 20:30 5601

[求助]再问输入表隐藏相关问题

2010-4-15 20:30
5601
不好意思,我想再问一下输入表隐藏的问题,我用汇编写了一个非常简易的程序,就是一个MessageBox弹出一条消息,输入表中有kernel32.dll user32.dll两个动态链接库,其下分别有CreateThread ExitProcess ExitThread 和 wsprintfA wsprintfW MessageBoxA 这几个函数,不知道怎样才能隐藏呢?起码使用LoadPE不会被看到user32.dll这个库和其中的函数。因为以前看了相关材料,上面讲的是需要用到LoadLibrary GetProAddress的,而我这个程序里没有这两个函数,怎么才能修改动态库中引用函数的内存地址指针呢?很困惑,希望能得到解答,谢谢了!

对了,另外还想问问,曾经看到有PE里输入表隐藏做的相当好的,其中只能看到kernel32.dll和ExitProcess,不知是怎么做到的啊?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 75
活跃值: (703)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
先把导入表中的dll名和该dll中的相关函数名保存下来,这时,原来的导入表就可以删掉了.然后重新构建一个导入表,里面仅仅包含kernel32.dll和它其中的两个函数LoadLibrary GetProAddress,让datadirectory[1]指向新的导入表.有了LoadLibrary GetProAddress和 前面保存的导入表信息,自己用LoadLibrary GetProAddress获得所有的函数地址,填入到相应的IAT位置就ok了.
2010-4-15 23:26
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
哦  大概明白了 回去先实践一下 呵呵 谢谢了
昨天又学习了一些东西 可以通过定位kernel32.dll基址来定位LoadLibrary GetProAddress,就可以不用输入表,也可以实现对API函数进行正常调用,也在实践中
2010-4-16 08:23
0
雪    币: 176
活跃值: (267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
隐藏输入表 杀软还杀不杀?
2010-4-16 21:03
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
5
不导入任何东西都可以啊~
2010-4-17 09:29
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
在罗云彬的win32汇编里章节是17.6,里面讲到的,可以先定位kernel32.dll,找到GetProcAddress,然后是LoadLibrary,就可以加载其他动态库,调用其中的函数,不用建立输入表,但是代码会多一些,稍麻烦一点。
2010-4-19 10:53
0
游客
登录 | 注册 方可回帖
返回
//