[原创]进程中dll模块的隐藏-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]进程中dll模块的隐藏

发表于: 2008-2-20 17:28 102038

[原创]进程中dll模块的隐藏

NetRoc

2008-2-20 17:28

102038

查看主题内容

收藏・210

免费・8

支持

最新回复 (75) ◀ 1 2 3 4 ▶
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 26 楼太牛B了。学习学习。。 2008-12-13 15:45 0
xbeggar 雪币： 202 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	xbeggar 27 楼我的方法是自己做loader,加载后破坏PE头信息 2008-12-21 20:12 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 28 楼好贴好贴顶啊 2008-12-21 21:27 0
yachli 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	yachli 29 楼说来说去，谁的最强？藏的最深？ 2008-12-22 17:00 0
Ginzo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Ginzo 30 楼学习了，正好这方面的知识非常欠缺 2008-12-23 01:48 0
xoojo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 186 粉丝 0 关注私信	xoojo 31 楼正好这方面的知识非常欠缺！ 2008-12-23 13:26 0
xxyyzasabc 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 0 关注私信	xxyyzasabc 32 楼好文章慢慢欣赏 2009-1-14 21:42 0
SafeNdis 雪币： 224 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 50 粉丝 1 关注私信	SafeNdis 3 33 楼你的DLL隐藏只是给制定函数看的,看我的贴子没有DLL的DLL. 2009-1-14 22:17 0
chhzh 雪币： 324 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 0 关注私信	chhzh 34 楼顶顶顶 2009-4-4 16:50 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 35 楼同我一样的想法，我得研究新的方法了，被公布了的东西再是秘密 2009-5-5 21:30 0
kelthuzad 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	kelthuzad 36 楼呵呵，占个座明天看 2009-5-31 01:26 0
dibotiger 雪币： 182 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	dibotiger 37 楼试用了下，实现了从进程模块列表里消失的目的。但随之而来的问题好像更严重: DLL正常工作一段时间后(大概几十秒不等)，宿主进程出错崩溃退出。初步怀疑和某个模块有冲突，一个个注掉原来的工作线程调试，只保留最后一个必须的工作线程，但还是出错。如果DLL实现了进程里的消失，却导致进程的崩溃，好像有点得不偿失。或则是我还不知道关键问题所在？请赐教，感谢！ 2010-3-13 18:13 0
sharenpk 雪币： 253 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 1 关注私信	sharenpk 38 楼这帖子在哪呢，没搜到。。。。 2010-5-22 15:58 0
xianzq 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	xianzq 39 楼个人感觉是不是只需要再次HOOK攻举进程线程模块的函数就OK了喃.... 2010-5-24 10:23 0
pengpzy 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	pengpzy 40 楼没有DLL的DLL 在哪呀？ 2010-5-25 10:03 0
sinbreak 雪币： 2734 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	sinbreak 41 楼路过，围观！ 2010-6-18 11:57 0
xiefei 雪币： 97 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	xiefei 42 楼主辛苦了，学习ing 2010-6-19 22:18 0
小桃红雪币： 13 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 85 粉丝 1 关注私信	小桃红 43 楼直接用汇编写插入的代码吧,就只直接重定位,不过麻烦,但是没DLL 2010-6-20 01:53 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 44 楼个人感觉这个不错，但是貌似还是在API上在做文章，记得以前有个模块叫做MemoryModule的C代码，该模块模拟了DLL的加载过程。 LdrLoadLibraryXX 后改写了内核数据结构，但是MemoryModule比较懒，没改写内核，自然API就没法看到DLL模块了。该方法能躲避目前基于API的所有检测。 2010-6-20 10:33 0
comemy 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	comemy 45 楼看过飞过！！！！！！！ 2010-6-20 15:53 0
mudfan 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	mudfan 46 楼修改pe头呢？ 2010-6-21 01:19 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 47 楼好东西.但好像有些函数没有贴出来,是吧?! 2010-6-21 15:54 0
nogod 雪币： 60 活跃值： (46) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 21 粉丝 1 关注私信	nogod 48 楼 //g_ldm->InLoadOrderModuleList.Flink->Blink = &g_ldm->InLoadOrderModuleList; //g_ldm->InLoadOrderModuleList.Blink->Flink = &g_ldm->InLoadOrderModuleList; //g_ldm->InInitializationOrderModuleList.Flink->Blink = &g_ldm->InInitializationOrderModuleList; //g_ldm->InInitializationOrderModuleList.Blink->Flink = &g_ldm->InInitializationOrderModuleList; //g_ldm->InMemoryOrderModuleList.Flink->Blink = &g_ldm->InMemoryOrderModuleList; //g_ldm->InMemoryOrderModuleList.Blink->Flink = &g_ldm->InMemoryOrderModuleList; 隐藏后我使用上面的代码恢复隐藏的DLL不行，请教大牛隐藏后如何恢复啊？ 2010-8-11 21:25 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 50 楼看不懂~ 努力学习~ 希望有一天可以看懂~ 楼主辛苦~ 2010-10-28 06:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NetRoc

发帖

108

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) ◀ 1 2 3 4 ▶
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 26 楼太牛B了。学习学习。。 2008-12-13 15:45 0
xbeggar 雪币： 202 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	xbeggar 27 楼我的方法是自己做loader,加载后破坏PE头信息 2008-12-21 20:12 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 28 楼好贴好贴顶啊 2008-12-21 21:27 0
yachli 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	yachli 29 楼说来说去，谁的最强？藏的最深？ 2008-12-22 17:00 0
Ginzo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Ginzo 30 楼学习了，正好这方面的知识非常欠缺 2008-12-23 01:48 0
xoojo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 186 粉丝 0 关注私信	xoojo 31 楼正好这方面的知识非常欠缺！ 2008-12-23 13:26 0
xxyyzasabc 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 0 关注私信	xxyyzasabc 32 楼好文章慢慢欣赏 2009-1-14 21:42 0
SafeNdis 雪币： 224 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 50 粉丝 1 关注私信	SafeNdis 3 33 楼你的DLL隐藏只是给制定函数看的,看我的贴子没有DLL的DLL. 2009-1-14 22:17 0
chhzh 雪币： 324 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 0 关注私信	chhzh 34 楼顶顶顶 2009-4-4 16:50 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 35 楼同我一样的想法，我得研究新的方法了，被公布了的东西再是秘密 2009-5-5 21:30 0
kelthuzad 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	kelthuzad 36 楼呵呵，占个座明天看 2009-5-31 01:26 0
dibotiger 雪币： 182 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	dibotiger 37 楼试用了下，实现了从进程模块列表里消失的目的。但随之而来的问题好像更严重: DLL正常工作一段时间后(大概几十秒不等)，宿主进程出错崩溃退出。初步怀疑和某个模块有冲突，一个个注掉原来的工作线程调试，只保留最后一个必须的工作线程，但还是出错。如果DLL实现了进程里的消失，却导致进程的崩溃，好像有点得不偿失。或则是我还不知道关键问题所在？请赐教，感谢！ 2010-3-13 18:13 0
sharenpk 雪币： 253 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 1 关注私信	sharenpk 38 楼这帖子在哪呢，没搜到。。。。 2010-5-22 15:58 0
xianzq 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	xianzq 39 楼个人感觉是不是只需要再次HOOK攻举进程线程模块的函数就OK了喃.... 2010-5-24 10:23 0
pengpzy 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	pengpzy 40 楼没有DLL的DLL 在哪呀？ 2010-5-25 10:03 0
sinbreak 雪币： 2734 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	sinbreak 41 楼路过，围观！ 2010-6-18 11:57 0
xiefei 雪币： 97 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	xiefei 42 楼主辛苦了，学习ing 2010-6-19 22:18 0
小桃红雪币： 13 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 85 粉丝 1 关注私信	小桃红 43 楼直接用汇编写插入的代码吧,就只直接重定位,不过麻烦,但是没DLL 2010-6-20 01:53 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 44 楼个人感觉这个不错，但是貌似还是在API上在做文章，记得以前有个模块叫做MemoryModule的C代码，该模块模拟了DLL的加载过程。 LdrLoadLibraryXX 后改写了内核数据结构，但是MemoryModule比较懒，没改写内核，自然API就没法看到DLL模块了。该方法能躲避目前基于API的所有检测。 2010-6-20 10:33 0
comemy 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	comemy 45 楼看过飞过！！！！！！！ 2010-6-20 15:53 0
mudfan 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	mudfan 46 楼修改pe头呢？ 2010-6-21 01:19 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 47 楼好东西.但好像有些函数没有贴出来,是吧?! 2010-6-21 15:54 0
nogod 雪币： 60 活跃值： (46) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 21 粉丝 1 关注私信	nogod 48 楼 //g_ldm->InLoadOrderModuleList.Flink->Blink = &g_ldm->InLoadOrderModuleList; //g_ldm->InLoadOrderModuleList.Blink->Flink = &g_ldm->InLoadOrderModuleList; //g_ldm->InInitializationOrderModuleList.Flink->Blink = &g_ldm->InInitializationOrderModuleList; //g_ldm->InInitializationOrderModuleList.Blink->Flink = &g_ldm->InInitializationOrderModuleList; //g_ldm->InMemoryOrderModuleList.Flink->Blink = &g_ldm->InMemoryOrderModuleList; //g_ldm->InMemoryOrderModuleList.Blink->Flink = &g_ldm->InMemoryOrderModuleList; 隐藏后我使用上面的代码恢复隐藏的DLL不行，请教大牛隐藏后如何恢复啊？ 2010-8-11 21:25 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 50 楼看不懂~ 努力学习~ 希望有一天可以看懂~ 楼主辛苦~ 2010-10-28 06:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复