[原创]远程注入之dll模块深度隐藏-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]远程注入之dll模块深度隐藏

发表于: 2018-6-21 16:44 26520

[原创]远程注入之dll模块深度隐藏

chpeagle

2018-6-21 16:44

26520

还有一种方法就是通过写入ShellCode进入对目标空间,然后在用CreateRemoteThread启动,但是写ShellCode很麻烦,每一个API函数的地址都需要自己获取,而且不能像直接写高级语言一样写ShellCode.

那么有没有一种方法,既可以让对方看不到自己的模块,也不需要自己定位API那,就像平常时写高级语言一样简单那.

答案肯定是有的,请看图:

注入部分的代码:

没注入前:

注入之后

可以看到并没有看到注入的模块.

远程注入的弊端
解决远程注入的弊端
1. 新建一个Dll文件
2.申请内存空间
3.拷贝dll进入内存空间
4.修复重定位
整个dll
查看效果:

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・122

免费・2

支持

打赏 + 2.00雪花

junkboy

打赏次数 1

雪花 + 2.00

junkboy

+2.00

2018/06/21

最新回复 (46) 1 2 ▶
pccq 雪币： 75 活跃值： (693) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 2 楼感谢分享 2018-6-21 17:04 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 3 楼也可以不修复重定位，在卸载的地址revirtual 2018-6-21 17:05 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 4 楼我想知道全局HOOK，怎么隐藏DLL文件， SetWindowsHookEx 2018-6-21 19:53 0
youxiaxy 雪币： 2058 活跃值： (1601) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 3 关注私信	youxiaxy 5 楼学习了。 2018-6-21 20:51 0
chinarenjf 雪币： 7045 活跃值： (3990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 6 楼加壳的DLL不可以吧. 2018-6-21 21:39 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 7 楼 2018-6-21 22:51 0
mimotion 雪币： 277 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mimotion 8 楼 mark 学习了 2018-6-22 00:19 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 9 楼 chinarenjf 加壳的DLL不可以吧. 可以的 2018-6-22 00:20 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 10 楼化魔我想知道全局HOOK，怎么隐藏DLL文件， SetWindowsHookEx 这个也是一样的，代码都不用修改 2018-6-22 00:21 0
fengyunabc 雪币： 3736 活跃值： (3867) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 11 楼感谢分享 2018-6-22 01:08 0
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 12 楼最多算是分享吧? 2018-6-22 06:15 0
wujimaa 雪币： 364 活跃值： (1696) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 166 粉丝 1 关注私信	wujimaa 1 13 楼内存加载dll 2018-6-22 09:36 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 14 楼只是遍历不到模块罢了，遍历内存可执行属性一样暴露无遗。 2018-6-22 09:57 0
Carkem 雪币： 19 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	Carkem 15 楼 mark 最后于 2018-6-22 11:10 被Carkem编辑，原因： 2018-6-22 10:25 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 16 楼 chpeagle 这个也是一样的，代码都不用修改我怎么测试直接崩溃啊，能有个例子吗。 2018-6-22 10:48 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 17 楼化魔我怎么测试直接崩溃啊，能有个例子吗。你调用SetWindowHook是在哪里调用.应该在新申请的空间里面调用,因为一开始加载进去的模块已经卸载了. 2018-6-22 12:35 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 18 楼化魔我想知道全局HOOK，怎么隐藏DLL文件， SetWindowsHookEx SetWindowsHookEx全局HOOK不建议隐藏dll 2018-6-22 14:20 0
阮光全雪币： 52 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	阮光全 19 楼楼主能上传源代码编译文件就完美了... 2018-6-22 17:05 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 20 楼 wonderzdh 只是遍历不到模块罢了，遍历内存可执行属性一样暴露无遗。确实,但可执行属性并不代表就是代码,但是为了防止一部分内存特征扫描可以进一步抹去PE头,导出表,导入表,重定位表,TLS表,和敏感字段. 2018-6-22 19:38 0
sjh_pediy 雪币： 288 活跃值： (269) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	sjh_pediy 21 楼不错的思路 2018-6-23 07:17 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 22 楼 GOOD~ 2018-6-23 07:39 0
hekes 雪币： 4904 活跃值： (2330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 23 楼 mark 2018-6-24 10:06 0
云霁雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	云霁 24 楼注入之后怎么卸载啊 2018-7-25 15:59 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 25 楼云霁注入之后怎么卸载啊还原Hook,释放内存就卸载了.但是不能直接在模块里调用VirtualFree(这样做的后果很可能就是直接崩溃),应该在栈里面构造一段代码来执行VirtualFree.或者在不属于释放模块的内存空间.如果要在模块里调用VirutalFree,应该在堆栈构造参数,堆栈内容为:[返回EIP,VirtualFree的参数],然后jmp VirtualFree.返回EIP就是主程序进入模块前下一条指令的地址. 2018-7-26 15:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chpeagle

发帖

116

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) 1 2 ▶
pccq 雪币： 75 活跃值： (693) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 2 楼感谢分享 2018-6-21 17:04 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 3 楼也可以不修复重定位，在卸载的地址revirtual 2018-6-21 17:05 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 4 楼我想知道全局HOOK，怎么隐藏DLL文件， SetWindowsHookEx 2018-6-21 19:53 0
youxiaxy 雪币： 2058 活跃值： (1601) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 3 关注私信	youxiaxy 5 楼学习了。 2018-6-21 20:51 0
chinarenjf 雪币： 7045 活跃值： (3990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 6 楼加壳的DLL不可以吧. 2018-6-21 21:39 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 7 楼 2018-6-21 22:51 0
mimotion 雪币： 277 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mimotion 8 楼 mark 学习了 2018-6-22 00:19 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 9 楼 chinarenjf 加壳的DLL不可以吧. 可以的 2018-6-22 00:20 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 10 楼化魔我想知道全局HOOK，怎么隐藏DLL文件， SetWindowsHookEx 这个也是一样的，代码都不用修改 2018-6-22 00:21 0
fengyunabc 雪币： 3736 活跃值： (3867) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 11 楼感谢分享 2018-6-22 01:08 0
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 12 楼最多算是分享吧? 2018-6-22 06:15 0
wujimaa 雪币： 364 活跃值： (1696) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 166 粉丝 1 关注私信	wujimaa 1 13 楼内存加载dll 2018-6-22 09:36 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 14 楼只是遍历不到模块罢了，遍历内存可执行属性一样暴露无遗。 2018-6-22 09:57 0
Carkem 雪币： 19 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	Carkem 15 楼 mark 最后于 2018-6-22 11:10 被Carkem编辑，原因： 2018-6-22 10:25 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 16 楼 chpeagle 这个也是一样的，代码都不用修改我怎么测试直接崩溃啊，能有个例子吗。 2018-6-22 10:48 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 17 楼化魔我怎么测试直接崩溃啊，能有个例子吗。你调用SetWindowHook是在哪里调用.应该在新申请的空间里面调用,因为一开始加载进去的模块已经卸载了. 2018-6-22 12:35 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 18 楼化魔我想知道全局HOOK，怎么隐藏DLL文件， SetWindowsHookEx SetWindowsHookEx全局HOOK不建议隐藏dll 2018-6-22 14:20 0
阮光全雪币： 52 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	阮光全 19 楼楼主能上传源代码编译文件就完美了... 2018-6-22 17:05 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 20 楼 wonderzdh 只是遍历不到模块罢了，遍历内存可执行属性一样暴露无遗。确实,但可执行属性并不代表就是代码,但是为了防止一部分内存特征扫描可以进一步抹去PE头,导出表,导入表,重定位表,TLS表,和敏感字段. 2018-6-22 19:38 0
sjh_pediy 雪币： 288 活跃值： (269) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	sjh_pediy 21 楼不错的思路 2018-6-23 07:17 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 22 楼 GOOD~ 2018-6-23 07:39 0
hekes 雪币： 4904 活跃值： (2330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 23 楼 mark 2018-6-24 10:06 0
云霁雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	云霁 24 楼注入之后怎么卸载啊 2018-7-25 15:59 0
chpeagle 雪币： 4113 活跃值： (2829) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 25 楼云霁注入之后怎么卸载啊还原Hook,释放内存就卸载了.但是不能直接在模块里调用VirtualFree(这样做的后果很可能就是直接崩溃),应该在栈里面构造一段代码来执行VirtualFree.或者在不属于释放模块的内存空间.如果要在模块里调用VirutalFree,应该在堆栈构造参数,堆栈内容为:[返回EIP,VirtualFree的参数],然后jmp VirtualFree.返回EIP就是主程序进入模块前下一条指令的地址. 2018-7-26 15:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复