首页
社区
课程
招聘
[原创]远程注入之dll模块深度隐藏
发表于: 2018-6-21 16:44 26520

[原创]远程注入之dll模块深度隐藏

2018-6-21 16:44
26520

还有一种方法就是通过写入ShellCode进入对目标空间,然后在用CreateRemoteThread启动,但是写ShellCode很麻烦,每一个API函数的地址都需要自己获取,而且不能像直接写高级语言一样写ShellCode.

那么有没有一种方法,既可以让对方看不到自己的模块,也不需要自己定位API那,就像平常时写高级语言一样简单那.

答案肯定是有的,请看图:

注入部分的代码:

没注入前:

注入之后

可以看到并没有看到注入的模块.

 
 
 
 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 2
支持
分享
打赏 + 2.00雪花
打赏次数 1 雪花 + 2.00
 
赞赏  junkboy   +2.00 2018/06/21
最新回复 (46)
雪    币: 75
活跃值: (693)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2018-6-21 17:04
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
也可以不修复重定位,在卸载的地址revirtual
2018-6-21 17:05
0
雪    币: 49
活跃值: (261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我想知道全局HOOK,怎么隐藏DLL文件,      SetWindowsHookEx
2018-6-21 19:53
0
雪    币: 2058
活跃值: (1601)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
学习了。
2018-6-21 20:51
0
雪    币: 7045
活跃值: (3990)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
加壳的DLL不可以吧.
2018-6-21 21:39
0
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
2018-6-21 22:51
0
雪    币: 277
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
mark  学习了
2018-6-22 00:19
0
雪    币: 4113
活跃值: (2829)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
9
chinarenjf 加壳的DLL不可以吧.
可以的
2018-6-22 00:20
0
雪    币: 4113
活跃值: (2829)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
10
化魔 我想知道全局HOOK,怎么隐藏DLL文件, SetWindowsHookEx
这个也是一样的,代码都不用修改
2018-6-22 00:21
0
雪    币: 3736
活跃值: (3867)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
感谢分享
2018-6-22 01:08
0
雪    币: 95
活跃值: (144)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
12
最多算是分享吧? 
2018-6-22 06:15
0
雪    币: 364
活跃值: (1696)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
内存加载dll
2018-6-22 09:36
0
雪    币: 62
活跃值: (971)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
14
只是遍历不到模块罢了,遍历内存可执行属性一样暴露无遗。
2018-6-22 09:57
0
雪    币: 19
活跃值: (62)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
mark 
最后于 2018-6-22 11:10 被Carkem编辑 ,原因:
2018-6-22 10:25
0
雪    币: 49
活跃值: (261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
chpeagle 这个也是一样的,代码都不用修改
我怎么测试直接崩溃啊,能有个例子吗。
2018-6-22 10:48
0
雪    币: 4113
活跃值: (2829)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
17
化魔 我怎么测试直接崩溃啊,能有个例子吗。
你调用SetWindowHook是在哪里调用.应该在新申请的空间里面调用,因为一开始加载进去的模块已经卸载了.
2018-6-22 12:35
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
化魔 我想知道全局HOOK,怎么隐藏DLL文件, SetWindowsHookEx
SetWindowsHookEx全局HOOK不建议隐藏dll
2018-6-22 14:20
0
雪    币: 52
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
楼主能上传源代码编译文件就完美了...
2018-6-22 17:05
0
雪    币: 4113
活跃值: (2829)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
20
wonderzdh 只是遍历不到模块罢了,遍历内存可执行属性一样暴露无遗。
确实,但可执行属性并不代表就是代码,但是为了防止一部分内存特征扫描可以进一步抹去PE头,导出表,导入表,重定位表,TLS表,和敏感字段.
2018-6-22 19:38
0
雪    币: 288
活跃值: (269)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
21
不错的思路
2018-6-23 07:17
0
雪    币: 22
活跃值: (443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
GOOD~
2018-6-23 07:39
0
雪    币: 4904
活跃值: (2330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
mark
2018-6-24 10:06
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
注入之后怎么卸载啊
2018-7-25 15:59
0
雪    币: 4113
活跃值: (2829)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
25
云霁 注入之后怎么卸载啊
还原Hook,释放内存就卸载了.但是不能直接在模块里调用VirtualFree(这样做的后果很可能就是直接崩溃),应该在栈里面构造一段代码来执行VirtualFree.或者在不属于释放模块的内存空间.如果要在模块里调用VirutalFree,应该在堆栈构造参数,堆栈内容为:[返回EIP,VirtualFree的参数],然后jmp VirtualFree.返回EIP就是主程序进入模块前下一条指令的地址.
2018-7-26 15:41
0
游客
登录 | 注册 方可回帖
返回
//