[求助]关于DLL隐藏-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]关于DLL隐藏

发表于: 2012-12-6 06:46 10019

[求助]关于DLL隐藏

小林先生

2012-12-6 06:46

10019

一个DLL的启动过程是这样的:
1,被宿主程序LoadLibraryA加载进来
2,首先DLL申请了一块内存(和自身模块大小一样)

3.VirtualProtect修改DLL的内存属性(PAGE_EXECUTE_READWRITE)

4.对第2步申请的内存用WriteProcessMemory写数据(把DLL的数据写进去)

5.卸载DLL

6.用被卸载的DLL句柄为起始地址申请一块内存(大小和DLL大小一样)

7.再用WriteProcessMemory把第6步申请内存填充数据(数据是buf是第2步申请的内存地址数据)

8.VirtualProtect把以DLL句柄为起始地址内存属性修改为可执行(代码段)

9.把第2步申请的内存释放掉

关键代码就是这么多了.DLL是带窗口的,这样做了之后DLL就可以隐藏起来了eek:

上面的分析是OD调试出来的,但是实际DLL是注入到HS保护的游戏,请问我该怎么做才能取到DLL模块句柄呢?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

申请内存.png （3.13kb，5次下载）
修改页面属性.png （2.99kb，1次下载）
写内存.jpg （27.18kb，2次下载）
卸载自身.png （1.61kb，2次下载）
申请内存2.png （3.31kb，1次下载）
写内存2.png （3.31kb，1次下载）
修改属性.png （3.01kb，1次下载）
释放内存.png （2.24kb，1次下载）

收藏・10

免费・0

支持

最新回复 (23)
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 2 楼嘿嘿...暴力搜索特征码可以么?? 还是没太看懂你要表达的意思.. 2012-12-6 07:50 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 3 楼那个载入基址就是句柄啊。。。第一步LoadLibrary的那个地址就是。。。后面的再咋改。。。只要PE信息没变，都一样的。。。就跟断链差不多的，还不如内存LoadPE来得直接 2012-12-6 08:16 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 4 楼游戏是HS保护的,我当然知道LoadLibrary那个就是句柄,现在的问题是 DLL已经完成了这些步骤之后,该怎么去得到这个句柄,并不是我LoadLibrary的 2012-12-6 08:27 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 5 楼确实隐藏了dll，dll的相关信息应该直接用API也拿不到了，特征码搜索？ 2012-12-6 10:44 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 6 楼特征码可以找到另外关注这个隐藏DLL,最后一步是不是Createthread创建线程启动第六步的那个地址即可实现DLL? 呵呵求解答 2012-12-6 14:28 0
yayayxkf 雪币： 256 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 7 楼图的流程很清晰,但文字表述没怎么懂,GetModuleHandle ? 2012-12-6 14:32 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 8 楼 HMODULE GetDllSelfModuleHandle() { MEMORY_BASIC_INFORMATION mbi; RtlZeroMemory(&mbi,sizeof(MEMORY_BASIC_INFORMATION)); return ((::VirtualQuery(GetDllSelfModuleHandle,&mbi,sizeof(mbi)) != 0) ? (HMODULE)mbi.AllocationBase : NULL); } 这应该也可以吧 2012-12-6 15:00 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 9 楼 pe文件有dos头，暴力找内存，列表所有dos头，和api枚举出来的hmodule对比，找出隐藏的，跟据代码段特征识别这个模块是啥 2012-12-6 20:14 0
游乐娃子雪币： 7527 活跃值： (5362) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 10 楼不是GetModuleHandle么？ 2012-12-6 20:57 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 11 楼 DLL被Free掉了,GetModuleHandle得不到的 2012-12-7 01:18 0
lylxd 雪币： 5163 活跃值： (3402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 12 楼扫内存就好。 2012-12-7 03:28 0
yayayxkf 雪币： 256 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 13 楼 DLL Free掉之前获取,然后写到你申请的那块内存里面 2012-12-7 10:14 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 14 楼已经解决了 ,我劫持了游戏的DLL,在HS还没加载起来就被游戏加载了,然后Hook LoadLibraryA 得到了他的句柄,感谢大家的回复 2012-12-8 18:14 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 15 楼我想问下怎么能用指定地址来申请内存·！ 2012-12-9 01:47 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 16 楼 http://baike.baidu.com/view/1521481.htm 2012-12-9 13:05 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 17 楼过于复杂，修改一个值就可以了，哎，都做成这样了，该抹的字段顺带的抹一下吧，一步loader 即可，不用来来回回这么复杂，懂得都知道咧 2012-12-9 13:17 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 18 楼再来回复下···我用那个 API 申请不到原DLL的内存啊·！！ DLL卸载后再申请的·1！ 2012-12-10 01:32 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 19 楼 DLL不卸载的话那块内存是被占用的啊 2012-12-10 19:50 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 20 楼哈哈这个不是我写的啦,是别人的辅助DLL这样做的,（DELPHI写的） 2012-12-10 19:51 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 21 楼我卸载了·！！我用OD找不到那块内存了··然后申请··返回0 ···OD也找不到那个内存·！！ 2012-12-10 23:43 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 22 楼执行DLL隐藏的这部分代码是申请内存写入SELLCODE来调用的,因为DLL不能FREE掉自己 2012-12-11 00:50 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 23 楼我是自己写个测试程序的··DLL也是···然后加载DLL EXE来卸载·！！申请也是EXE来操作的·！ 2012-12-11 01:06 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 24 楼哈哈，这个方法以前在外挂中见过，确实不错。嘿嘿。 2012-12-11 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小林先生

发帖

273

回帖

RANK

关注

私信

他的文章

[求助]关于DLL隐藏 10020

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 2 楼嘿嘿...暴力搜索特征码可以么?? 还是没太看懂你要表达的意思.. 2012-12-6 07:50 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 3 楼那个载入基址就是句柄啊。。。第一步LoadLibrary的那个地址就是。。。后面的再咋改。。。只要PE信息没变，都一样的。。。就跟断链差不多的，还不如内存LoadPE来得直接 2012-12-6 08:16 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 4 楼游戏是HS保护的,我当然知道LoadLibrary那个就是句柄,现在的问题是 DLL已经完成了这些步骤之后,该怎么去得到这个句柄,并不是我LoadLibrary的 2012-12-6 08:27 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 5 楼确实隐藏了dll，dll的相关信息应该直接用API也拿不到了，特征码搜索？ 2012-12-6 10:44 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 6 楼特征码可以找到另外关注这个隐藏DLL,最后一步是不是Createthread创建线程启动第六步的那个地址即可实现DLL? 呵呵求解答 2012-12-6 14:28 0
yayayxkf 雪币： 256 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 7 楼图的流程很清晰,但文字表述没怎么懂,GetModuleHandle ? 2012-12-6 14:32 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 8 楼 HMODULE GetDllSelfModuleHandle() { MEMORY_BASIC_INFORMATION mbi; RtlZeroMemory(&mbi,sizeof(MEMORY_BASIC_INFORMATION)); return ((::VirtualQuery(GetDllSelfModuleHandle,&mbi,sizeof(mbi)) != 0) ? (HMODULE)mbi.AllocationBase : NULL); } 这应该也可以吧 2012-12-6 15:00 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 9 楼 pe文件有dos头，暴力找内存，列表所有dos头，和api枚举出来的hmodule对比，找出隐藏的，跟据代码段特征识别这个模块是啥 2012-12-6 20:14 0
游乐娃子雪币： 7527 活跃值： (5362) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 10 楼不是GetModuleHandle么？ 2012-12-6 20:57 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 11 楼 DLL被Free掉了,GetModuleHandle得不到的 2012-12-7 01:18 0
lylxd 雪币： 5163 活跃值： (3402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 12 楼扫内存就好。 2012-12-7 03:28 0
yayayxkf 雪币： 256 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 13 楼 DLL Free掉之前获取,然后写到你申请的那块内存里面 2012-12-7 10:14 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 14 楼已经解决了 ,我劫持了游戏的DLL,在HS还没加载起来就被游戏加载了,然后Hook LoadLibraryA 得到了他的句柄,感谢大家的回复 2012-12-8 18:14 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 15 楼我想问下怎么能用指定地址来申请内存·！ 2012-12-9 01:47 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 16 楼 http://baike.baidu.com/view/1521481.htm 2012-12-9 13:05 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 17 楼过于复杂，修改一个值就可以了，哎，都做成这样了，该抹的字段顺带的抹一下吧，一步loader 即可，不用来来回回这么复杂，懂得都知道咧 2012-12-9 13:17 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 18 楼再来回复下···我用那个 API 申请不到原DLL的内存啊·！！ DLL卸载后再申请的·1！ 2012-12-10 01:32 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 19 楼 DLL不卸载的话那块内存是被占用的啊 2012-12-10 19:50 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 20 楼哈哈这个不是我写的啦,是别人的辅助DLL这样做的,（DELPHI写的） 2012-12-10 19:51 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 21 楼我卸载了·！！我用OD找不到那块内存了··然后申请··返回0 ···OD也找不到那个内存·！！ 2012-12-10 23:43 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 22 楼执行DLL隐藏的这部分代码是申请内存写入SELLCODE来调用的,因为DLL不能FREE掉自己 2012-12-11 00:50 0
值得怀疑雪币： 2325 活跃值： (4878) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 23 楼我是自己写个测试程序的··DLL也是···然后加载DLL EXE来卸载·！！申请也是EXE来操作的·！ 2012-12-11 01:06 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 24 楼哈哈，这个方法以前在外挂中见过，确实不错。嘿嘿。 2012-12-11 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复