手动加载dll后,想要达到隐藏,所以不能挂peb,但不挂peb就会出错,请问还有什么方法可以做到
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
https://github.com/strivexjun/MemoryModulePP
https://github.com/bb107/MemoryModulePP
AperOdry https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP
我看了源代码,这个还是挂的链表啊。
GloryRef 我看了源代码,这个还是挂的链表啊。
Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法(防止通过seh劫持控制流),验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将模块的信息插入到表中,实现的方式有两个:使用ntdll中的RtlInsertInvertedFunctionTable(未导出),或者搜索LdrpInvertedFunctionTable后自己实现插入函数。我选择了后者,因为前者是通过特征码搜索,需要不断更新。参考:[RtlInsertInvertedFunctionTable]https://github.com/bb107/MemoryModulePP/blob/master/MemoryModule/InvertedFunctionTable.cpp
[FindLdrpInvertedFunctionTable]https://github.com/bb107/MemoryModulePP/blob/master/MemoryModule/Initialize.cpp
Boring勇哥 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法(防止通过seh劫持控制流),验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将 ...