首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[注意]Win8中 另类链表检测 DLL
发表于: 2014-4-25 19:19 6448

[注意]Win8中 另类链表检测 DLL

bujin888 活跃值
4
2014-4-25 19:19
6448
详情见
FreeLibrary ->LdrUnloadDll  ->LdrpFindLoadedDllByAddress ->LdrpModuleBaseAddressIndex

LdrpFindLoadedDllByAddress:
77DB1900   .  55            PUSH EBP
77DB1901   .  8BEC          MOV EBP,ESP
77DB1903   .  53            PUSH EBX
77DB1904   .  56            PUSH ESI
77DB1905   .  57            PUSH EDI
77DB1906   .  8BF0          MOV ESI,EAX
77DB1908   .  33FF          XOR EDI,EDI
77DB190A   .  33DB          XOR EBX,EBX
77DB190C   .  85F6          TEST ESI,ESI
77DB190E   .^ 0F84 18A3FCFF JE ntdll.77D7BC2C
77DB1914   .  3B35 CCA0E477 CMP ESI,DWORD PTR DS:[77E4A0CC]          ;  ntdll.<ModuleEntryPoint>
77DB191A   .  0F84 402B0100 JE ntdll.77DC4460
77DB1920   .  E8 A1EBFFFF   CALL ntdll.77DB04C6
77DB1925   .  A1 70FBE477   MOV EAX,DWORD PTR DS:[77E4FB70]//LdrpModuleBaseAddressIndex
77DB192A   >  85C0          TEST EAX,EAX
77DB192C   .  74 2C         JE SHORT ntdll.77DB195A
77DB192E   .  3B70 B0       CMP ESI,DWORD PTR DS:[EAX-50]
77DB1931   .  0F82 99010000 JB ntdll.77DB1AD0
77DB1937   .  76 05         JBE SHORT ntdll.77DB193E
77DB1939   .  8B40 04       MOV EAX,DWORD PTR DS:[EAX+4]
77DB193C   .^ EB EC         JMP SHORT ntdll.77DB192A
77DB193E   >  85C0          TEST EAX,EAX
77DB1940   .  74 18         JE SHORT ntdll.77DB195A
77DB1942   .  FF75 08       PUSH DWORD PTR SS:[EBP+8]
77DB1945   .  8D78 98       LEA EDI,DWORD PTR DS:[EAX-68]
77DB1948   .  8B5F 50       MOV EBX,DWORD PTR DS:[EDI+50]
77DB194B   .  8BF3          MOV ESI,EBX

LdrpModuleBaseAddressIndex 指向链表首位置

77DB192E   .  3B70 B0       CMP ESI,DWORD PTR DS:[EAX-50] 中
DWORD PTR DS:[EAX-50] 处存放DLLBASE

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费
支持
分享
最新回复 (3)
红绡枫叶
雪    币: 1555
活跃值: (948)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
私信
2
受教了.....
2014-4-25 20:57
0
cvcvxk
雪    币: 8833
活跃值: (2419)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
3
还真没注意到~
2014-4-25 22:42
0
bujin888
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
4
win8 win8.1隐藏 修改注意

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
   ldm^.InLoadOrderModuleList.Blink^.Flink := ldm^.InLoadOrderModuleList.Flink;
   ldm^.InLoadOrderModuleList.Flink^.Blink := ldm^.InLoadOrderModuleList.Blink;
   ldm^.InInitializationOrderModuleList.Blink^.Flink := ldm^.InInitializationOrderModuleList.Flink;
   ldm^.InInitializationOrderModuleList.Flink^.Blink := ldm^.InInitializationOrderModuleList.Blink;
   ldm^.InMemoryOrderModuleList.Blink^.Flink := ldm^.InMemoryOrderModuleList.Flink;
   ldm^.InMemoryOrderModuleList.Flink^.Blink := ldm^.InMemoryOrderModuleList.Blink;
 
   //ldm^.BaseAddress:=nil;  //如果设置nil  loadlibrary会显示失败
 
 
   if (Win32MajorVersion>=6) and (Win32MinorVersion>=2) then  //win8 win8.1
   begin
    // ldm+$68 为ldm^.BaseAddressIndexNode地址
    hide_InNode(Pointer(   DWORD(ldm)+$68   ));
   end;
 
function GetLdrpModuleBaseAddressIndex:DWORD;
var
 ntdll:THandle;
 I,curAdd:Cardinal;
 LdrDisableThreadCalloutsForDll,    //LdrDisableThreadCalloutsForDll win8 win8.1都存在
 LdrpFindLoadedDllByHandle:Cardinal;
 findAsmKey:TarrasmCodeKey;
begin
 Result:=0;
 ntdll:=GetModuleHandle('ntdll.dll');   LdrpFindLoadedDllByHandle:=0;
 if ntdll<>0 then
 begin
   LdrDisableThreadCalloutsForDll:=Cardinal(GetProcAddress(ntdll,'LdrDisableThreadCalloutsForDll'));
   if LdrDisableThreadCalloutsForDll>0 then
   begin
    SetLength(findAsmKey,1);
    findAsmKey[0]:='call';          //硬编码
    curAdd:=FindAsmCode(LdrDisableThreadCalloutsForDll,0,findAsmKey);
    if curAdd>0 then
    begin
      LdrpFindLoadedDllByHandle:=PULONG(curAdd+1)^+5+curAdd;
    end;
   end;
   if LdrpFindLoadedDllByHandle>0 then
   begin
     SetLength(findAsmKey,2);
     findAsmKey[0]:='mov     eax,';         //硬编码
     findAsmKey[1]:='test    eax, eax';     //硬编码
     curAdd:=FindAsmCode(LdrpFindLoadedDllByHandle,0,findAsmKey);
     if curAdd>0 then
     begin
       Result:=PULONG(curAdd+1)^;
     end;
   end; 
    
 end;
end;
 
function hide_InNode(NeedDeleteNode:Pointer):Cardinal;stdcall;
var
 LdrpModuleBaseAddressIndex:DWORD;
 RtlRbRemoveNode:Pointer;
begin
 RtlRbRemoveNode:=GetProcAddress(GetModuleHandle('ntdll.dll'),'RtlRbRemoveNode');
 if RtlRbRemoveNode<>nil then
 begin
  LdrpModuleBaseAddressIndex:=GetLdrpModuleBaseAddressIndex;
  if LdrpModuleBaseAddressIndex>0 then
  begin
   TRtlRbRemoveNode(RtlRbRemoveNode)(Pointer(LdrpModuleBaseAddressIndex),NeedDeleteNode);
  end;
 end; 
end;
2014-4-26 06:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》