首页
社区
课程
招聘
[求助]PCHunter进程模块遍历
发表于: 2015-7-7 19:36 9223

[求助]PCHunter进程模块遍历

2015-7-7 19:36
9223
PCHunter进程模块遍历
弱弱的问下,PCHunter或OD用什么方法列举进程模块信息的
网上搜了下没有相关的文章
我把_TEB里的Ldr都抹掉了,还是能遍历处DLL模块

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 67
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
上传的附件:
2015-7-7 23:11
0
雪    币: 7048
活跃值: (3527)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
3
给你几个关键字,百度一下吧,这是最简单的枚举模块的方法
CreateToolhelp32Snapshot  TH32CS_SNAPMODULE
Module32First
Module32Next
CloseHandle
2015-7-7 23:59
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
你这个是通过PEB结构的LDR_DATA_TABLE_ENTRY遍历的么
不同的XueTr版本方法不一样耶
2015-7-8 00:02
0
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
抹信息的方法基本上是没用的,自己分配内存放dll数据再抹掉pe头可能还有戏
2015-7-8 12:59
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
重新分配内存放dll数据
如果DLL数据量大,还要重定位代码,很麻烦
PCHunter模块遍历总应该调用API函数获得吧
2015-7-8 13:16
0
雪    币: 102
活跃值: (142)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
我是自己模拟的loadlibrary
2015-7-8 13:58
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
有测试过么,OD或PCHunter还能扫到DLL模块么
2015-7-8 15:44
0
雪    币: 1895
活跃值: (1642)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
EPROCESS -> VAD



搜下看雪吧。XT直接就空白了。
2015-7-8 16:10
0
雪    币: 135
活跃值: (106)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
10
ZwQueryVirtualMemory
2015-7-8 19:54
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
按照师兄的方法把EPROCESS -> VAD抹掉了
PCHunter还是能搜到模块---
2015-7-12 22:37
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
12
PEB里的LDR
NTDLL里的那个HashTable
VAD
内存中PE头
2015-7-13 18:01
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
其他都处理了
NTDLL里的那个HashTable,这个不知道有没有相关的文章参考下
不过EPROCESS -> VAD处理的可能不是很到位,他是个二叉树
我只是把DLL路径抹掉测试的,摘这个树没找到相关的API
2015-7-13 19:51
0
雪    币: 116
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
不如自己内存重定位个多方便....弄这么多太麻烦了
2015-7-13 23:06
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
把DLL数据全部重定位,不知道对DLL有窗口的-定时器或线程,输出信息函数有没有影响
2015-7-14 14:20
0
雪    币: 474
活跃值: (846)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
16
ZwQueryVirtualMemory 传参2 可以得到内存模块名称
然后判断内存执行属性,无论什么方式进入进程内的  基本都可以锁定了
2015-8-7 10:24
0
游客
登录 | 注册 方可回帖
返回
//