[求助]如何在Ring3 在进程模块里隐藏自己的DLL模块？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]如何在Ring3 在进程模块里隐藏自己的DLL模块？

发表于: 2015-1-8 00:46 19867

[求助]如何在Ring3 在进程模块里隐藏自己的DLL模块？

Winker

2015-1-8 00:46

19867

如何在Ring3 在进程模块里隐藏自己的DLL模块？
有没有好的C++ 的代码啊？支持X86 X64的 XP 以上系统
不想用驱动啊。

不用内存加载DLL法。。。

==================
已经解决，放代码,在需要隐藏的DLL本身的代码里加入：

typedef struct _UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR  Buffer;
} UNICODE_STRING;

typedef struct _LDR_MODULE {
	LIST_ENTRY InLoadOrderModuleList;
	LIST_ENTRY InMemoryOrderModuleList;
	LIST_ENTRY InInitializationOrderModuleList;
	PVOID BaseAddress;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	SHORT LoadCount;
	SHORT TlsIndex;
	LIST_ENTRY HashTableEntry;
	ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

typedef struct _PEB_LDR_DATA
{
	ULONG               Length;
	BOOLEAN             Initialized;
	BYTE        reserved[3];
	PVOID               SsHandle;
	LIST_ENTRY          InLoadOrderModuleList;
	LIST_ENTRY          InMemoryOrderModuleList;
	LIST_ENTRY          InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _NT_PEB 
{
	BOOLEAN InheritedAddressSpace;
	BOOLEAN ReadImageFileExecOptions;
	BOOLEAN BeingDebugged;
	BOOLEAN Spare;
	HANDLE Mutant;
	PVOID ImageBaseAddress;
	PPEB_LDR_DATA LoaderData;
	PVOID ProcessParameters;//PRTL_USER_PROCESS_PARAMETERS
	PVOID SubSystemData;
	PVOID ProcessHeap;
	PVOID FastPebLock;
	PVOID FastPebLockRoutine;//PPEBLOCKROUTINE
	PVOID FastPebUnlockRoutine;//PPEBLOCKROUTINE
	ULONG EnvironmentUpdateCount;
	PVOID *KernelCallbackTable;
	PVOID EventLogSection;
	PVOID EventLog;
	PVOID FreeList;//PPEB_FREE_BLOCK
	ULONG TlsExpansionCounter;
	PVOID TlsBitmap;
	ULONG TlsBitmapBits[0x2];
	PVOID ReadOnlySharedMemoryBase;
	PVOID ReadOnlySharedMemoryHeap;
	PVOID *ReadOnlyStaticServerData;
	PVOID AnsiCodePageData;
	PVOID OemCodePageData;
	PVOID UnicodeCaseTableData;
	ULONG NumberOfProcessors;
	ULONG NtGlobalFlag;
	BYTE Spare2[0x4];
	LARGE_INTEGER CriticalSectionTimeout;
	ULONG HeapSegmentReserve;
	ULONG HeapSegmentCommit;
	ULONG HeapDeCommitTotalFreeThreshold;
	ULONG HeapDeCommitFreeBlockThreshold;
	ULONG NumberOfHeaps;
	ULONG MaximumNumberOfHeaps;
	PVOID **ProcessHeaps;
	PVOID GdiSharedHandleTable;
	PVOID ProcessStarterHelper;
	PVOID GdiDCAttributeList;
	PVOID LoaderLock;
	ULONG OSMajorVersion;
	ULONG OSMinorVersion;
	ULONG OSBuildNumber;
	ULONG OSPlatformId;
	ULONG ImageSubSystem;
	ULONG ImageSubSystemMajorVersion;
	ULONG ImageSubSystemMinorVersion;
	ULONG GdiHandleBuffer[0x22];
	ULONG PostProcessInitRoutine;
	ULONG TlsExpansionBitmap;
	BYTE TlsExpansionBitmapBits[0x80];
	ULONG SessionId;
}NT_PEB, *pNT_PEB;

typedef struct _NT_TEB
{
	NT_TIB Tib;                         /* 00h */
	PVOID EnvironmentPointer;           /* 1Ch */
	//  CLIENT_ID Cid;                      /* 20h */
	BYTE Reserved1[8];				 //占用8个字节
	PVOID ActiveRpcInfo;                /* 28h */
	PVOID ThreadLocalStoragePointer;    /* 2Ch */
	pNT_PEB Peb;                       /* 30h */
	ULONG LastErrorValue;               /* 34h */
	ULONG CountOfOwnedCriticalSections; /* 38h */
	PVOID CsrClientThread;              /* 3Ch */
	void* Win32ThreadInfo;        /* 40h */
	ULONG Win32ClientInfo[0x1F];        /* 44h */
	PVOID WOW32Reserved;                /* C0h */
	LCID CurrentLocale;                 /* C4h */
	ULONG FpSoftwareStatusRegister;     /* C8h */
	PVOID SystemReserved1[0x36];        /* CCh */
	PVOID Spare1;                       /* 1A4h */
	LONG ExceptionCode;                 /* 1A8h */
	UCHAR SpareBytes1[0x28];            /* 1ACh */
	PVOID SystemReserved2[0xA];         /* 1D4h */
	//  GDI_TEB_BATCH GdiTebBatch;          /* 1FCh */
	BYTE Reserved3[0x4e0];				 //占用8个字节
	ULONG gdiRgn;                       /* 6DCh */
	ULONG gdiPen;                       /* 6E0h */
	ULONG gdiBrush;                     /* 6E4h */
	// CLIENT_ID RealClientId;             /* 6E8h */
	BYTE Reserved2[8];				 //占用8个字节
	PVOID GdiCachedProcessHandle;       /* 6F0h */
	ULONG GdiClientPID;                 /* 6F4h */
	ULONG GdiClientTID;                 /* 6F8h */
	PVOID GdiThreadLocaleInfo;          /* 6FCh */
	PVOID UserReserved[5];              /* 700h */
	PVOID glDispatchTable[0x118];       /* 714h */
	ULONG glReserved1[0x1A];            /* B74h */
	PVOID glReserved2;                  /* BDCh */
	PVOID glSectionInfo;                /* BE0h */
	PVOID glSection;                    /* BE4h */
	PVOID glTable;                      /* BE8h */
	PVOID glCurrentRC;                  /* BECh */
	PVOID glContext;                    /* BF0h */
	LONG LastStatusValue;        /* BF4h */
	UNICODE_STRING StaticUnicodeString; /* BF8h */
	WCHAR StaticUnicodeBuffer[0x105];   /* C00h */
	PVOID DeallocationStack;            /* E0Ch */
	PVOID TlsSlots[0x40];               /* E10h */
	LIST_ENTRY TlsLinks;                /* F10h */
	PVOID Vdm;                          /* F18h */
	PVOID ReservedForNtRpc;             /* F1Ch */
	PVOID DbgSsReserved[0x2];           /* F20h */
	ULONG HardErrorDisabled;            /* F28h */
	PVOID Instrumentation[0x10];        /* F2Ch */
	PVOID WinSockData;                  /* F6Ch */
	ULONG GdiBatchCount;                /* F70h */
	USHORT Spare2;                      /* F74h */
	BOOLEAN IsFiber;                    /* F76h */
	UCHAR Spare3;                       /* F77h */
	ULONG Spare4;                       /* F78h */
	ULONG Spare5;                       /* F7Ch */
	PVOID ReservedForOle;               /* F80h */
	ULONG WaitingOnLoaderLock;          /* F84h */
	ULONG Unknown[11];                  /* F88h */
	PVOID FlsSlots;                     /* FB4h */
	PVOID WineDebugInfo;                /* Needed for WINE DLL's  */
}NT_TEB, *pNT_TEB;


NT_TEB*  GetCurrentThreadTEB()
{
	NT_TEB* pTeb=NULL;

	_asm
	{
		mov    eax,fs:[0x18]	//获取本进程的主线程的TEB
		mov    pTeb,eax
	}
	return pTeb;
}

BOOL HideModuleByHandle(HMODULE hModule)
{
	OutputDebugString("FFFFFFFFFFFFFFFFF");
	NT_TEB* pTeb = GetCurrentThreadTEB();
	NT_PEB* pPeb = pTeb->Peb;
	PPEB_LDR_DATA pLdrData = pPeb->LoaderData;
	PLDR_MODULE  ListHead = (PLDR_MODULE)(&(pLdrData->InLoadOrderModuleList));
	PLDR_MODULE pFirstLdrModule = (PLDR_MODULE)pLdrData->InLoadOrderModuleList.Flink; 
	PLDR_MODULE pLdrModule = pFirstLdrModule;
	//   PLDR_MODULE pLastModule,pNextModule;

	//LoadOrderModuleList
	while(pLdrModule != ListHead)
	{
		//判断是否是我们要屏蔽的模块
		if(pLdrModule->BaseAddress == hModule)
		{
			pLdrModule->InLoadOrderModuleList.Flink->Blink = pLdrModule->InLoadOrderModuleList.Blink;
			pLdrModule->InLoadOrderModuleList.Blink->Flink = pLdrModule->InLoadOrderModuleList.Flink;
			pLdrModule->InMemoryOrderModuleList.Flink->Blink = pLdrModule->InMemoryOrderModuleList.Blink;
			pLdrModule->InMemoryOrderModuleList.Blink->Flink = pLdrModule->InMemoryOrderModuleList.Flink;
			pLdrModule->InInitializationOrderModuleList.Flink->Blink = pLdrModule->InInitializationOrderModuleList.Blink;
			pLdrModule->InInitializationOrderModuleList.Blink->Flink = pLdrModule->InInitializationOrderModuleList.Flink;
		}
		//移动到链表的下一个
		pLdrModule = (PLDR_MODULE)pLdrModule->InLoadOrderModuleList.Flink;
	} 
	return 0;
}

然后在DLL初始化或者被调用的函数下面调用一下:
//===============隐藏模块==============================
HMODULE hModule = GetModuleHandle("54nb.com.dll");//本身DLL名称
HideModuleByHandle(hModule) ;
//===============隐藏模块==============================

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・23

免费・1

支持

最新回复 (22)
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 2 楼直接内存加载DLL 2015-1-8 01:09 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 3 楼 ,同意 2015-1-8 01:21 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼不用内存，可以用显存吗？ 2015-1-8 08:00 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 5 楼写成shellcode 注入目标进程 2015-1-8 09:13 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 6 楼想想就不太可能，不用内存就要有section的存在，这个没办法隐藏，除非只能做到别人找到这个section但不知道是你这个dll 2015-1-8 09:43 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼周总这么早啊，忙什么呢？ 2015-1-8 10:08 0
一盏清茗雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	一盏清茗 8 楼大早上一大波牛。。 2015-1-8 10:10 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 9 楼打杂。。 2015-1-8 10:10 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 10 楼同求方法啊 2015-1-8 11:04 0
pxhb 雪币： 6575 活跃值： (4531) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 11 楼求例子，看到很多壳的插件都这样 2015-1-8 11:06 0
mvyn 雪币： 7 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	mvyn 12 楼内存加载dll时导入表如何处理？求思路 2015-1-8 13:39 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 13 楼修正地址。 2015-1-8 14:21 0
xiaoaabc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	xiaoaabc 14 楼内存加载就可以隐藏dll模块了吗？ 2015-1-8 14:43 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 15 楼内存加载无影无踪 2015-1-8 16:16 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 16 楼 memLOADER 2015-1-8 17:10 0
mvyn 雪币： 7 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	mvyn 17 楼借楼主宝地，请教一下，如何修正，比如当内存中还未加载导入表中使用的dll，如何将此dll加载到内存中（不使用LoadLibrary函数）以查找函数地址修正导入表。望不吝赐教～ 2015-1-8 17:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 18 楼解决了，放代码了 2015-1-8 23:59 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 19 楼是的，我就是这样过11平台的检测的 2015-1-9 21:36 0
冰琥珀雪币： 265 活跃值： (221) 能力值： ( LV10，RANK：170 ) 在线值：发帖 7 回帖 163 粉丝 2 关注私信	冰琥珀 2 20 楼这不就是断链么，似乎隐藏性不是很高吧，似乎都过不了XueTr 2015-1-9 22:45 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 21 楼 OD都过不了的 2015-1-12 14:30 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 22 楼 DllLoader 2015-1-12 16:02 0
三刀疯雪币： 6 能力值： (RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	三刀疯 23 楼驱动一扫就出来了你这隐藏没啥用 2018-9-24 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Winker

133

发帖

1127

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 2 楼直接内存加载DLL 2015-1-8 01:09 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 3 楼 ,同意 2015-1-8 01:21 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼不用内存，可以用显存吗？ 2015-1-8 08:00 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 5 楼写成shellcode 注入目标进程 2015-1-8 09:13 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 6 楼想想就不太可能，不用内存就要有section的存在，这个没办法隐藏，除非只能做到别人找到这个section但不知道是你这个dll 2015-1-8 09:43 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼周总这么早啊，忙什么呢？ 2015-1-8 10:08 0
一盏清茗雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	一盏清茗 8 楼大早上一大波牛。。 2015-1-8 10:10 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 9 楼打杂。。 2015-1-8 10:10 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 10 楼同求方法啊 2015-1-8 11:04 0
pxhb 雪币： 6575 活跃值： (4531) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 11 楼求例子，看到很多壳的插件都这样 2015-1-8 11:06 0
mvyn 雪币： 7 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	mvyn 12 楼内存加载dll时导入表如何处理？求思路 2015-1-8 13:39 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 13 楼修正地址。 2015-1-8 14:21 0
xiaoaabc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	xiaoaabc 14 楼内存加载就可以隐藏dll模块了吗？ 2015-1-8 14:43 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 15 楼内存加载无影无踪 2015-1-8 16:16 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 16 楼 memLOADER 2015-1-8 17:10 0
mvyn 雪币： 7 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	mvyn 17 楼借楼主宝地，请教一下，如何修正，比如当内存中还未加载导入表中使用的dll，如何将此dll加载到内存中（不使用LoadLibrary函数）以查找函数地址修正导入表。望不吝赐教～ 2015-1-8 17:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 18 楼解决了，放代码了 2015-1-8 23:59 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 19 楼是的，我就是这样过11平台的检测的 2015-1-9 21:36 0
冰琥珀雪币： 265 活跃值： (221) 能力值： ( LV10，RANK：170 ) 在线值：发帖 7 回帖 163 粉丝 2 关注私信	冰琥珀 2 20 楼这不就是断链么，似乎隐藏性不是很高吧，似乎都过不了XueTr 2015-1-9 22:45 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 21 楼 OD都过不了的 2015-1-12 14:30 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 22 楼 DllLoader 2015-1-12 16:02 0
三刀疯雪币： 6 能力值： (RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	三刀疯 23 楼驱动一扫就出来了你这隐藏没啥用 2018-9-24 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复