[已解决]DLL自身抹链后如何对原有的自身函数调用？或者说DLL可以自身进行抹链吗？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[已解决]DLL自身抹链后如何对原有的自身函数调用？或者说DLL可以自身进行抹链吗？

发表于: 2014-8-21 00:44 8382

[已解决]DLL自身抹链后如何对原有的自身函数调用？或者说DLL可以自身进行抹链吗？

萌克力

2014-8-21 00:44

8382

int i_hide=0;
void S()
{
AfxMessageBox("HH");
}
typedef void (*fShowMe)(void);
void ShowMe()
{

if (i_hide==0)
{
i_hide=1;
fShowMe pfShowMe =&S;

molian(::GetModuleHandle("TestHd.dll")); //抹除自己的痕迹

fShowMe();
}
}

这是DLL内的函数，如果去掉 molian ()这个抹链函数的话可以直接调用 S() 但是加上抹链函数后调用就无效了。
通过别人写好的源码，看到了他就是抹链前记下来函数地址，抹链后调用成功，但他是EXE进行的操作。
我想知道，DLL本身可以进行抹链(断链)的操作吗？如果可以，抹链后DLL如何继续工作下去呢？

刚才看了下 DLL 自身运行抹链操作后整个流程都不再继续执行了...

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (23)
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 2 楼无法真正的隐藏起来，只能断开Module相关信息，函数地址永远存在。 2014-8-21 00:51 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 3 楼额我知道这个抹链只是在XUETR里看不到模块信息了但是我想知道这种抹链的操作可以让DLL自身来完成吗？我这样写了之后 DLL的确看不到了但是DLL本身无法继续工作了 2014-8-21 00:56 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 4 楼可以在断链前用GetProcAddress的方法先拿到函数地址，然后定义函数指针，就可以了。 2014-8-21 00:58 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 5 楼嗯谢谢了我去试试 2014-8-21 01:23 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 6 楼不对有个问题啊 GetProcessAdd获取的都是DLL公开的函数难道我要把所有的DLL函数都公开吗？ 2014-8-21 01:32 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 7 楼试过了还是不可以。。 2014-8-21 01:48 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 8 楼那他是怎么调用成功的呢？。。。。。 2014-8-21 02:32 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 9 楼嗯解决了如果必须插入DLL的话我这里有个蠢蠢的办法假设DLL A 和DLL B DLL A 的内容：载入DLL B 获取DLL B的启动函数对DLL B进行抹链调用DLL B的启动函数卸载DLL A 手动注入DLL A 即可 DLL A 被卸载后 DLL B就会“消失” 但是功能依旧存在。 2014-8-21 03:44 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 10 楼。。。。这种办法也有一种名称，在PE里叫，由引用所产生的导入项。理论上说的过去。但我还是坚持认为，你引用函数地址后，再隐藏DLL比较靠谱。既然能实现就贡喜一下，另外好奇的问下，为什么要隐藏DLL呢？难道你要注入的东西有检测？ 2014-8-21 06:36 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 11 楼游戏会扫特征0 0 2014-8-21 07:08 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 12 楼在DLLMain里面用memoryLoad的方式加载自己再return FALSE 2014-8-21 07:28 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 13 楼抹链是指PEB里那个结构吗？那种隐藏模块的方法。隐藏后不会对函数调用产生影响。你的问题可能是因为MFC，你用WIN32写个DLL测试。 2014-8-21 09:28 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 14 楼找到问题了，你没导出地址啊，那肯定不行的。 2014-8-21 11:34 0
注册章雪币： 3 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	注册章 15 楼楼主我想问这样之后无法定位特征码了对嘛？我是否可以理解用这个之后注入DLL就不会被追封了 2014-8-21 11:39 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 16 楼逐内存搜索，马上显原型。 2014-8-21 11:41 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 17 楼要看游戏力度了 11这样照样过不去还要再写点 2014-8-21 12:41 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 18 楼不是的单纯抹掉PEB xuetr都能找出来的 2014-8-21 12:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼 ReloadAndRun，居然没人关注你这句话，真是杯具 2014-8-21 13:38 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 20 楼可能是MFC的DLL 原因进行抹链后抹链的下一条语句不会执行... 2014-8-21 13:54 0
lylxd 雪币： 5207 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 21 楼抹链一点用都没有。 2014-8-21 14:26 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 22 楼你就做一个最简单的DLL，一个功能，然后一定要导出，不导出无法拿到指针的，确认一下，拿到指针再隐身，应该就可以了。 2014-8-21 14:36 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 23 楼还是教主NB 2014-8-21 14:49 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 24 楼其实就是14年的内存的DLL 只不过当时存在的问题现在依然存在..比如有些资源没办法加载 2018-2-19 22:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

萌克力

发帖

607

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 2 楼无法真正的隐藏起来，只能断开Module相关信息，函数地址永远存在。 2014-8-21 00:51 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 3 楼额我知道这个抹链只是在XUETR里看不到模块信息了但是我想知道这种抹链的操作可以让DLL自身来完成吗？我这样写了之后 DLL的确看不到了但是DLL本身无法继续工作了 2014-8-21 00:56 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 4 楼可以在断链前用GetProcAddress的方法先拿到函数地址，然后定义函数指针，就可以了。 2014-8-21 00:58 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 5 楼嗯谢谢了我去试试 2014-8-21 01:23 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 6 楼不对有个问题啊 GetProcessAdd获取的都是DLL公开的函数难道我要把所有的DLL函数都公开吗？ 2014-8-21 01:32 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 7 楼试过了还是不可以。。 2014-8-21 01:48 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 8 楼那他是怎么调用成功的呢？。。。。。 2014-8-21 02:32 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 9 楼嗯解决了如果必须插入DLL的话我这里有个蠢蠢的办法假设DLL A 和DLL B DLL A 的内容：载入DLL B 获取DLL B的启动函数对DLL B进行抹链调用DLL B的启动函数卸载DLL A 手动注入DLL A 即可 DLL A 被卸载后 DLL B就会“消失” 但是功能依旧存在。 2014-8-21 03:44 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 10 楼。。。。这种办法也有一种名称，在PE里叫，由引用所产生的导入项。理论上说的过去。但我还是坚持认为，你引用函数地址后，再隐藏DLL比较靠谱。既然能实现就贡喜一下，另外好奇的问下，为什么要隐藏DLL呢？难道你要注入的东西有检测？ 2014-8-21 06:36 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 11 楼游戏会扫特征0 0 2014-8-21 07:08 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 12 楼在DLLMain里面用memoryLoad的方式加载自己再return FALSE 2014-8-21 07:28 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 13 楼抹链是指PEB里那个结构吗？那种隐藏模块的方法。隐藏后不会对函数调用产生影响。你的问题可能是因为MFC，你用WIN32写个DLL测试。 2014-8-21 09:28 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 14 楼找到问题了，你没导出地址啊，那肯定不行的。 2014-8-21 11:34 0
注册章雪币： 3 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	注册章 15 楼楼主我想问这样之后无法定位特征码了对嘛？我是否可以理解用这个之后注入DLL就不会被追封了 2014-8-21 11:39 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 16 楼逐内存搜索，马上显原型。 2014-8-21 11:41 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 17 楼要看游戏力度了 11这样照样过不去还要再写点 2014-8-21 12:41 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 18 楼不是的单纯抹掉PEB xuetr都能找出来的 2014-8-21 12:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼 ReloadAndRun，居然没人关注你这句话，真是杯具 2014-8-21 13:38 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 20 楼可能是MFC的DLL 原因进行抹链后抹链的下一条语句不会执行... 2014-8-21 13:54 0
lylxd 雪币： 5207 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 21 楼抹链一点用都没有。 2014-8-21 14:26 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 22 楼你就做一个最简单的DLL，一个功能，然后一定要导出，不导出无法拿到指针的，确认一下，拿到指针再隐身，应该就可以了。 2014-8-21 14:36 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 23 楼还是教主NB 2014-8-21 14:49 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 24 楼其实就是14年的内存的DLL 只不过当时存在的问题现在依然存在..比如有些资源没办法加载 2018-2-19 22:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复