[原创]远程注入之dll模块深度隐藏-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]远程注入之dll模块深度隐藏

发表于: 2018-6-21 16:44 26565

[原创]远程注入之dll模块深度隐藏

chpeagle

2018-6-21 16:44

26565

查看主题内容

收藏・122

免费・2

支持

打赏 + 2.00雪花

junkboy

打赏次数 1

雪花 + 2.00

junkboy

+2.00

2018/06/21

最新回复 (46) ◀ 1 2
wx_职业玩家雪币： 4 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_职业玩家 27 楼在peb里也隐藏了吗？ 2018-8-24 04:05 0
jeahon 雪币： 197 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 0 关注私信	jeahon 28 楼没啥用无模块注入而已去pe也没用在TP想扫你分分钟 2018-8-24 05:04 0
tDasm 雪币： 14872 活跃值： (6093) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 29 楼核心就是自己写代码加载DLL 2018-8-24 09:30 0
greendays 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	greendays 30 楼 hModule是句柄，(DWORD)hModule什么意思？hModule能当做地址？ 2018-8-24 09:51 0
拨云雪币： 3 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	拨云 31 楼就是自己加载dll嘛，支持一下，但想过保护还差的很远，OpenProcess，VirtualAllocEx基本凉凉 2018-8-31 19:37 0
Justgoon 雪币： 635 活跃值： (1016) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 49 粉丝 55 关注私信	Justgoon 1 32 楼其实可以直接把自己拷到目标进程去，连dll都省了 2018-10-16 11:57 0
wangjietx 雪币： 169 活跃值： (298) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	wangjietx 33 楼你这有个问题没讲清楚，就是注入后怎么卸载你的dll，你是用FreeLibrary吗？如果用FreeLibrary那问题又来了，在XP跟Win7系统FreeLibrary是可以卸载dll的，但是在win10系统里面FreeLibrary就失败了，这个你试过没有，如果有什么解决方案请回复，多谢了。 2018-11-16 23:23 0
a 不不不不不正常的热血小朋友雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	a 不不不不不正常的热血小朋友 34 楼 mem后一直卡死了。。。 2019-5-18 20:02 0
hedilict 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	hedilict 35 楼 wangjietx 你这有个问题没讲清楚，就是注入后怎么卸载你的dll，你是用FreeLibrary吗？如果用FreeLibrary那问题又来了，在XP跟Win7系统FreeLibrary是可以卸载dll的，但是在w ... dllmain里面return false就自动卸载了啊 2019-5-20 02:40 0
木志本柯雪币： 4749 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 36 楼加壳的DLL不能运行，我加了VM然后就会报错。 2019-8-15 16:17 0
蜜蜂啊雪币： 7433 活跃值： (2034) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 37 楼不错支持一下感谢分享 2019-8-15 16:33 0
renbohan 雪币： 458 活跃值： (1882) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 41 粉丝 41 关注私信	renbohan 38 楼试验了一下，好像在Dllmain里面通过CreateThread的方式调用新申请内存中自己的函数的时候，在函数内调用某些api就会造成崩溃，不知道是不是我自己的问题。 2019-8-31 17:13 0
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 39 楼 wonderzdh 只是遍历不到模块罢了，遍历内存可执行属性一样暴露无遗。你这种暴力遍历错杀太多，和另一个帖子那种暴力检测虚拟机一个道理。 2019-9-2 11:48 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 40 楼 cheating 你这种暴力遍历错杀太多，和另一个帖子那种暴力检测虚拟机一个道理。 ??想多了，爆搜对于dll来说是非常实用的，而且对于检测dll来说，最终目的还是对比特征，所以在只有r3自身检查的情况下，内存dll配上hook zwquerymemory是无解的。 2019-9-2 13:03 0
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 41 楼你自己也说了，最终目的还是对比特征。如果只是单单暴搜的话会出现很多问题，以前我也想过，但觉得不靠谱，还是算了。我还想过其他五花八门的方式检测，但也能想出奇奇怪怪的方式逃过检测。矛与盾的关系吧。 2019-9-3 18:23 0
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 42 楼萌克力 ??想多了，爆搜对于dll来说是非常实用的，而且对于检测dll来说，最终目的还是对比特征，所以在只有r3自身检查的情况下，内存dll配上hook zwquerymemory是无解的。你自己也说了，最终目的还是对比特征。如果只是单单暴搜的话会出现很多问题，以前我也想过，但觉得不靠谱，还是算了。我还想过其他五花八门的方式检测，但也能想出奇奇怪怪的方式逃过检测。矛与盾的关系吧。 2019-9-3 18:23 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 43 楼 cheating 你自己也说了，最终目的还是对比特征。如果只是单单暴搜的话会出现很多问题，以前我也想过，但觉得不靠谱，还是算了。我还想过其他五花八门的方式检测，但也能想出奇奇怪怪的方式逃过检测。矛与盾的关系吧。 r0 爆搜 2019-9-3 22:56 0
renwei— 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	renwei— 44 楼楼主有源码吗？想学习一下！！！ 2019-10-9 21:30 0
zmrbak 雪币： 768 活跃值： (236) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 29 关注私信	zmrbak 45 楼这个方法非常好，非常值得学习！~ 2019-10-12 18:02 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 46 楼 https://bbs.pediy.com/thread-170530.htm 2019-10-16 20:37 0
Start_End 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Start_End 47 楼会引起储存在代码中的数据定位不正确 2020-8-13 19:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chpeagle

发帖

116

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) ◀ 1 2
wx_职业玩家雪币： 4 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_职业玩家 27 楼在peb里也隐藏了吗？ 2018-8-24 04:05 0
jeahon 雪币： 197 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 0 关注私信	jeahon 28 楼没啥用无模块注入而已去pe也没用在TP想扫你分分钟 2018-8-24 05:04 0
tDasm 雪币： 14872 活跃值： (6093) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 29 楼核心就是自己写代码加载DLL 2018-8-24 09:30 0
greendays 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	greendays 30 楼 hModule是句柄，(DWORD)hModule什么意思？hModule能当做地址？ 2018-8-24 09:51 0
拨云雪币： 3 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	拨云 31 楼就是自己加载dll嘛，支持一下，但想过保护还差的很远，OpenProcess，VirtualAllocEx基本凉凉 2018-8-31 19:37 0
Justgoon 雪币： 635 活跃值： (1016) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 49 粉丝 55 关注私信	Justgoon 1 32 楼其实可以直接把自己拷到目标进程去，连dll都省了 2018-10-16 11:57 0
wangjietx 雪币： 169 活跃值： (298) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	wangjietx 33 楼你这有个问题没讲清楚，就是注入后怎么卸载你的dll，你是用FreeLibrary吗？如果用FreeLibrary那问题又来了，在XP跟Win7系统FreeLibrary是可以卸载dll的，但是在win10系统里面FreeLibrary就失败了，这个你试过没有，如果有什么解决方案请回复，多谢了。 2018-11-16 23:23 0
a 不不不不不正常的热血小朋友雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	a 不不不不不正常的热血小朋友 34 楼 mem后一直卡死了。。。 2019-5-18 20:02 0
hedilict 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	hedilict 35 楼 wangjietx 你这有个问题没讲清楚，就是注入后怎么卸载你的dll，你是用FreeLibrary吗？如果用FreeLibrary那问题又来了，在XP跟Win7系统FreeLibrary是可以卸载dll的，但是在w ... dllmain里面return false就自动卸载了啊 2019-5-20 02:40 0
木志本柯雪币： 4749 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 36 楼加壳的DLL不能运行，我加了VM然后就会报错。 2019-8-15 16:17 0
蜜蜂啊雪币： 7433 活跃值： (2034) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 37 楼不错支持一下感谢分享 2019-8-15 16:33 0
renbohan 雪币： 458 活跃值： (1882) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 41 粉丝 41 关注私信	renbohan 38 楼试验了一下，好像在Dllmain里面通过CreateThread的方式调用新申请内存中自己的函数的时候，在函数内调用某些api就会造成崩溃，不知道是不是我自己的问题。 2019-8-31 17:13 0
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 39 楼 wonderzdh 只是遍历不到模块罢了，遍历内存可执行属性一样暴露无遗。你这种暴力遍历错杀太多，和另一个帖子那种暴力检测虚拟机一个道理。 2019-9-2 11:48 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 40 楼 cheating 你这种暴力遍历错杀太多，和另一个帖子那种暴力检测虚拟机一个道理。 ??想多了，爆搜对于dll来说是非常实用的，而且对于检测dll来说，最终目的还是对比特征，所以在只有r3自身检查的情况下，内存dll配上hook zwquerymemory是无解的。 2019-9-2 13:03 0
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 41 楼你自己也说了，最终目的还是对比特征。如果只是单单暴搜的话会出现很多问题，以前我也想过，但觉得不靠谱，还是算了。我还想过其他五花八门的方式检测，但也能想出奇奇怪怪的方式逃过检测。矛与盾的关系吧。 2019-9-3 18:23 0
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 42 楼萌克力 ??想多了，爆搜对于dll来说是非常实用的，而且对于检测dll来说，最终目的还是对比特征，所以在只有r3自身检查的情况下，内存dll配上hook zwquerymemory是无解的。你自己也说了，最终目的还是对比特征。如果只是单单暴搜的话会出现很多问题，以前我也想过，但觉得不靠谱，还是算了。我还想过其他五花八门的方式检测，但也能想出奇奇怪怪的方式逃过检测。矛与盾的关系吧。 2019-9-3 18:23 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 43 楼 cheating 你自己也说了，最终目的还是对比特征。如果只是单单暴搜的话会出现很多问题，以前我也想过，但觉得不靠谱，还是算了。我还想过其他五花八门的方式检测，但也能想出奇奇怪怪的方式逃过检测。矛与盾的关系吧。 r0 爆搜 2019-9-3 22:56 0
renwei— 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	renwei— 44 楼楼主有源码吗？想学习一下！！！ 2019-10-9 21:30 0
zmrbak 雪币： 768 活跃值： (236) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 29 关注私信	zmrbak 45 楼这个方法非常好，非常值得学习！~ 2019-10-12 18:02 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 46 楼 https://bbs.pediy.com/thread-170530.htm 2019-10-16 20:37 0
Start_End 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Start_End 47 楼会引起储存在代码中的数据定位不正确 2020-8-13 19:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复