-
-
[讨论]关于通过PEB隐藏进程内模块的问题
-
发表于:
2011-4-28 19:15
8754
-
通过PEB断链隐藏了模块,但是使用GetModuleHandle却还是能返回模块的handle的。
比如我通过断PEB链隐藏了ntdll.dll
例子代码:
HMODULE hModule = GetModuleHandle(L"ntdll.dll");
void *pfunc = GetProcAddress(hModule, "DbgBreakPoint");
wprintf(L"%p, func = %p\n", hModule, pfunc);
hModule 的值却是对的,只是pfunc为空而已。
现在的问题是,还需要增加什么手段,可以让GetModuleHandle也返回NULL,
否则别人还是可以通过offset + hModule ,能找到函数的地址的。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课