[原创]Dll 模块隐藏技术-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Dll 模块隐藏技术

2010-11-6 15:30 58787

[原创]Dll 模块隐藏技术

风萧兮

2010-11-6 15:30

58787

查看主题内容

收藏・132

点赞・7

打赏

最新回复 (52) ◀ 1 2 3 ▶
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 554 粉丝 25 关注私信	qyc 4 2010-11-22 12:26 26 楼 0 第一个ASM的要支持第二个坏话，不说了
gtict 雪币： 2440 活跃值： (2307) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 490 粉丝 5 关注私信	gtict 2010-11-23 20:19 27 楼 0 DllEntry proc _hInstance,_dwReason,_dwReserved 就这句，不太明白
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 141 粉丝 0 关注私信	aliwy 2010-11-25 16:23 28 楼 0 DLL的入口函数啊—— BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 2010-11-25 16:57 29 楼 0 呃····不是太懂·······慢慢琢磨下！
xxhaishixx 雪币： 89 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 80 粉丝 0 关注私信	xxhaishixx 2010-11-26 00:35 30 楼 0 楼主不是人 - -！
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 2010-11-26 00:53 31 楼 0 我想想听听坏话 ~~~
dljzt 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	dljzt 2010-11-26 07:09 32 楼 0 标记一下,以后学习
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 340 粉丝 1 关注私信	goddkiller 2010-12-20 13:24 33 楼 0 过xuetr的讲下原理，求真相。
zouzhiyong 雪币： 216 活跃值： (144) 能力值： ( LV10，RANK：160 ) 在线值：发帖 26 回帖 252 粉丝 2 关注私信	zouzhiyong 3 2010-12-21 14:16 34 楼 0 小弟来围观，学习了~~~
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 2011-5-9 12:59 35 楼 0 学习，多谢了。。。。
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 2011-5-11 11:16 36 楼 0 呵呵没看懂里面的内容比较多的感谢楼主精彩的分析啦
lyricC 雪币： 38 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 140 粉丝 0 关注私信	lyricC 2011-5-11 12:12 37 楼 0 好文章，顶一个
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2011-5-11 12:20 38 楼 0 呵呵。。这个文章还有浮上来的机会呦。。
ycmint 雪币： 1149 活跃值： (783) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 902 粉丝 10 关注私信	ycmint 5 2011-5-14 10:07 39 楼 0 http://www.debugman.com/discussion/4939/%E9%9A%8F%E4%BE%BF%E8%B4%B4%E7%82%B9%E6%97%A0%E7%94%A8%E7%9A%84 你懂的...也是一种比较好的。。。
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 229 粉丝 0 关注私信	痞子辉 1 2011-5-14 16:04 40 楼 0 我是来顶7楼的
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 2011-5-19 20:00 41 楼 0 感谢，学习。
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 2011-5-20 02:15 42 楼 0 好文章，mark一下
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 2011-5-20 11:06 43 楼 0 我没看错的话这不是win7下的远程dll注入吗?和LZ的主题貌似没有联系呀
stu 雪币： 1259 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 2011-5-20 12:04 44 楼 0 复习一遍看看。
ycmint 雪币： 1149 活跃值： (783) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 902 粉丝 10 关注私信	ycmint 5 2011-5-20 12:10 45 楼 0
黑子墨子雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	黑子墨子 2011-5-22 09:48 46 楼 0 自己模拟DLL的加载就好了凡是用了LoadLibraryW/A都不能真正隐藏…… 当然RING0什么的就不讨论了在RING0你想干什么就干什么没啥好说的。
zhaohtao 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 0 关注私信	zhaohtao 2011-5-22 09:49 47 楼 0 support...........
bswdylwsw 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 81 粉丝 0 关注私信	bswdylwsw 2011-5-23 11:04 48 楼 0 不错啊。我就是喜欢 ASM。
Ethernet 雪币： 203 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 139 粉丝 0 关注私信	Ethernet 2011-5-24 19:48 49 楼 0 都让你做完所有的事了，再找你当然费事。你也说了，杀软会提醒的，这不就暴露了嘛。使用CreateRemoteThread或setwindowhook的方法，太容易暴露了。
WST 雪币： 247 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	WST 2011-6-1 18:05 50 楼 0 用这个函数应该能获得路径吧 GetMappedFileName
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

风萧兮

发帖

117

回帖

RANK

关注

私信

他的文章

[原创]Dll 模块隐藏技术

[原创]Exploit 提交（34 bytes）

[求助]如何从PE文件中提取出.ICO文件?

[求助]OD 为什么可以显示出 CWnd：： ???

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) ◀ 1 2 3 ▶
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 554 粉丝 25 关注私信	qyc 4 2010-11-22 12:26 26 楼 0 第一个ASM的要支持第二个坏话，不说了
gtict 雪币： 2440 活跃值： (2307) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 490 粉丝 5 关注私信	gtict 2010-11-23 20:19 27 楼 0 DllEntry proc _hInstance,_dwReason,_dwReserved 就这句，不太明白
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 141 粉丝 0 关注私信	aliwy 2010-11-25 16:23 28 楼 0 DLL的入口函数啊—— BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 2010-11-25 16:57 29 楼 0 呃····不是太懂·······慢慢琢磨下！
xxhaishixx 雪币： 89 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 80 粉丝 0 关注私信	xxhaishixx 2010-11-26 00:35 30 楼 0 楼主不是人 - -！
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 2010-11-26 00:53 31 楼 0 我想想听听坏话 ~~~
dljzt 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	dljzt 2010-11-26 07:09 32 楼 0 标记一下,以后学习
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 340 粉丝 1 关注私信	goddkiller 2010-12-20 13:24 33 楼 0 过xuetr的讲下原理，求真相。
zouzhiyong 雪币： 216 活跃值： (144) 能力值： ( LV10，RANK：160 ) 在线值：发帖 26 回帖 252 粉丝 2 关注私信	zouzhiyong 3 2010-12-21 14:16 34 楼 0 小弟来围观，学习了~~~
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 2011-5-9 12:59 35 楼 0 学习，多谢了。。。。
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 2011-5-11 11:16 36 楼 0 呵呵没看懂里面的内容比较多的感谢楼主精彩的分析啦
lyricC 雪币： 38 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 140 粉丝 0 关注私信	lyricC 2011-5-11 12:12 37 楼 0 好文章，顶一个
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2011-5-11 12:20 38 楼 0 呵呵。。这个文章还有浮上来的机会呦。。
ycmint 雪币： 1149 活跃值： (783) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 902 粉丝 10 关注私信	ycmint 5 2011-5-14 10:07 39 楼 0 http://www.debugman.com/discussion/4939/%E9%9A%8F%E4%BE%BF%E8%B4%B4%E7%82%B9%E6%97%A0%E7%94%A8%E7%9A%84 你懂的...也是一种比较好的。。。
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 229 粉丝 0 关注私信	痞子辉 1 2011-5-14 16:04 40 楼 0 我是来顶7楼的
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 2011-5-19 20:00 41 楼 0 感谢，学习。
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 2011-5-20 02:15 42 楼 0 好文章，mark一下
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 2011-5-20 11:06 43 楼 0 我没看错的话这不是win7下的远程dll注入吗?和LZ的主题貌似没有联系呀
stu 雪币： 1259 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 2011-5-20 12:04 44 楼 0 复习一遍看看。
ycmint 雪币： 1149 活跃值： (783) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 902 粉丝 10 关注私信	ycmint 5 2011-5-20 12:10 45 楼 0
黑子墨子雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	黑子墨子 2011-5-22 09:48 46 楼 0 自己模拟DLL的加载就好了凡是用了LoadLibraryW/A都不能真正隐藏…… 当然RING0什么的就不讨论了在RING0你想干什么就干什么没啥好说的。
zhaohtao 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 0 关注私信	zhaohtao 2011-5-22 09:49 47 楼 0 support...........
bswdylwsw 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 81 粉丝 0 关注私信	bswdylwsw 2011-5-23 11:04 48 楼 0 不错啊。我就是喜欢 ASM。
Ethernet 雪币： 203 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 139 粉丝 0 关注私信	Ethernet 2011-5-24 19:48 49 楼 0 都让你做完所有的事了，再找你当然费事。你也说了，杀软会提醒的，这不就暴露了嘛。使用CreateRemoteThread或setwindowhook的方法，太容易暴露了。
WST 雪币： 247 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	WST 2011-6-1 18:05 50 楼 0 用这个函数应该能获得路径吧 GetMappedFileName
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复