[原创]进程中dll模块的隐藏-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]进程中dll模块的隐藏

发表于: 2008-2-20 17:28 102037

[原创]进程中dll模块的隐藏

NetRoc

2008-2-20 17:28

102037

查看主题内容

收藏・210

免费・8

支持

最新回复 (75) ◀ 1 2 3 4 ▶
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 51 楼隐藏DLL的还有一个方法就是把Dll真正卸载掉，需要准备几个步骤： 1、动态修改Dll入口代码，直接return 1 2、保证IAT所引用的DLL在本DLL卸载后依然存在 3、保证栈可执行接下来只要VirtualAlloc一段与本DLL的Image大小相同的内存，将本DLL复制过去，然后在栈上面构造一段将内容复制回来的代码，push这段代码的入口，然后JMP到FreeLibrary执行，这样在DLL卸载后就会跳到栈上面执行，栈上面将会把DLL的内容复制回来。这样在DLL卸载后，DLL的代码大部分依然可以正常工作，可能取资源的代码会受到影响而不能正常工作。示例如下，运行方式rundll32.exe DllLoader.dll, ProcMain 上传的附件： DllLoader.rar （4.81kb，503次下载） 2010-10-29 12:03 0
寻梦小子雪币： 81 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	寻梦小子 1 52 楼先占座，再慢慢欣赏 2010-10-30 18:18 0
pilyuxia 雪币： 213 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	pilyuxia 53 楼收藏了，好好研究研究。 2010-11-10 09:31 0
Ethernet 雪币： 203 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 54 楼直接败给GetModuleHandle. 2011-4-28 19:37 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 55 楼哈哈，没关系，GetModuleHandle得知道名字才行呢。。。 2011-4-28 19:57 0
残梦飘雪雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 195 粉丝 0 关注私信	残梦飘雪 56 楼感谢各位大牛拜读了 2012-1-17 18:32 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 57 楼单纯从ring0隐藏角度，断了四个链，修改了VAD，就差抹PE头了，因为Attach到进程空间没法修改，会蓝屏，地址有效，结果xuetr可以检测到基地址和大小，看不到模块名，我已经把基地址和大小改成0了。。。。。 2012-1-28 21:16 0
ggmmddmm 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	ggmmddmm 58 楼好东东，学习！。。。。。 2012-2-13 23:49 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 59 楼强大~~~~ 2012-4-21 22:11 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 60 楼标记大牛猛贴。 2012-10-15 14:27 0
mengzhou 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	mengzhou 61 楼我顶我顶我顶顶顶！ 2012-10-16 09:47 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 62 楼各位大牛：打扰下，你们这个是驱动代码吧我试了在DLL中直接调用上述代码始终会出错因为在R3 有个指针的地址是 [1248] pstEntry=0xC0000000 可能是因为不能访问这个地址出的错吧意思就是不能在R3断链了哦 2013-2-1 23:11 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 63 楼新手看不懂基础差盼望高手们指教学习方向该看哪些基础课程最好能互加好友 2013-2-21 12:06 0
踽踽独行雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	踽踽独行 64 楼经典文章，楼主辛苦 2013-2-21 14:32 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 65 楼相当有用的内容 2013-4-10 18:21 0
zclyj 雪币： 549 活跃值： (42) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	zclyj 1 66 楼高手过招，看得我是眼花缭乱，佩服中。。。 2013-4-11 11:18 0
Love小玉雪币： 9 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	Love小玉 67 楼不错学习了 2013-4-11 16:00 0
lupming 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	lupming 68 楼收藏了..好帖子... 2013-7-7 22:39 0
hcw 雪币： 16 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hcw 69 楼直接从内存中加载DLL,自己做重定位,也行的. 2013-8-27 14:48 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 70 楼 mark 2014-3-6 18:55 0
鸿鹄zhb 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	鸿鹄zhb 71 楼很不错的帖子 2014-3-19 21:39 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 72 楼 mark，正看到了这个技术。 2014-10-3 22:08 0
majy 雪币： 8 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	majy 73 楼留名，存帖 2014-10-9 18:38 0
wem 雪币： 516 活跃值： (3146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 239 粉丝 3 关注私信	wem 74 楼顶 2020-10-18 08:06 0
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 37 关注私信	低调putchar 1 75 楼 2008年的老贴了！不过还有个尾没有收完！只分析了EumProcessModules中读取到了：stProcessBasicInfo.PebBaseAddress->LDR，但凭什么说是枚举的是InMemoryOrderModuleList？这里给你补上： .text:76BC1F4E mov eax, [ebp-24h] ;stProcessBasicInfo.PebBaseAddress->LDR .text:76BC1F51 add eax, 14h ;&stProcessBasicInfo.PebBaseAddress->LDR->InMemoryOrderModuleList .text:76BC1F54 mov [ebp-28h], eax .text:76BC1F57 push ebx ；NULL .text:76BC1F58 push 4 ;Length .text:76BC1F5A lea ecx, [ebp-20h] .text:76BC1F5D push ecx ;Buffer .text:76BC1F5E push eax ;&stProcessBasicInfo.PebBaseAddress->LDR->InMemoryOrderModuleList .text:76BC1F5F push dword ptr [ebp+8] ;hProcess .text:76BC1F62 call esi ; ReadProcessMemory 最后于 2020-10-28 21:04 被低调putchar编辑，原因： 2020-10-22 10:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NetRoc

发帖

108

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) ◀ 1 2 3 4 ▶
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 51 楼隐藏DLL的还有一个方法就是把Dll真正卸载掉，需要准备几个步骤： 1、动态修改Dll入口代码，直接return 1 2、保证IAT所引用的DLL在本DLL卸载后依然存在 3、保证栈可执行接下来只要VirtualAlloc一段与本DLL的Image大小相同的内存，将本DLL复制过去，然后在栈上面构造一段将内容复制回来的代码，push这段代码的入口，然后JMP到FreeLibrary执行，这样在DLL卸载后就会跳到栈上面执行，栈上面将会把DLL的内容复制回来。这样在DLL卸载后，DLL的代码大部分依然可以正常工作，可能取资源的代码会受到影响而不能正常工作。示例如下，运行方式rundll32.exe DllLoader.dll, ProcMain 上传的附件： DllLoader.rar （4.81kb，503次下载） 2010-10-29 12:03 0
寻梦小子雪币： 81 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	寻梦小子 1 52 楼先占座，再慢慢欣赏 2010-10-30 18:18 0
pilyuxia 雪币： 213 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	pilyuxia 53 楼收藏了，好好研究研究。 2010-11-10 09:31 0
Ethernet 雪币： 203 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 54 楼直接败给GetModuleHandle. 2011-4-28 19:37 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 55 楼哈哈，没关系，GetModuleHandle得知道名字才行呢。。。 2011-4-28 19:57 0
残梦飘雪雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 195 粉丝 0 关注私信	残梦飘雪 56 楼感谢各位大牛拜读了 2012-1-17 18:32 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 57 楼单纯从ring0隐藏角度，断了四个链，修改了VAD，就差抹PE头了，因为Attach到进程空间没法修改，会蓝屏，地址有效，结果xuetr可以检测到基地址和大小，看不到模块名，我已经把基地址和大小改成0了。。。。。 2012-1-28 21:16 0
ggmmddmm 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	ggmmddmm 58 楼好东东，学习！。。。。。 2012-2-13 23:49 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 59 楼强大~~~~ 2012-4-21 22:11 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 60 楼标记大牛猛贴。 2012-10-15 14:27 0
mengzhou 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	mengzhou 61 楼我顶我顶我顶顶顶！ 2012-10-16 09:47 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 62 楼各位大牛：打扰下，你们这个是驱动代码吧我试了在DLL中直接调用上述代码始终会出错因为在R3 有个指针的地址是 [1248] pstEntry=0xC0000000 可能是因为不能访问这个地址出的错吧意思就是不能在R3断链了哦 2013-2-1 23:11 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 63 楼新手看不懂基础差盼望高手们指教学习方向该看哪些基础课程最好能互加好友 2013-2-21 12:06 0
踽踽独行雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	踽踽独行 64 楼经典文章，楼主辛苦 2013-2-21 14:32 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 65 楼相当有用的内容 2013-4-10 18:21 0
zclyj 雪币： 549 活跃值： (42) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	zclyj 1 66 楼高手过招，看得我是眼花缭乱，佩服中。。。 2013-4-11 11:18 0
Love小玉雪币： 9 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	Love小玉 67 楼不错学习了 2013-4-11 16:00 0
lupming 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	lupming 68 楼收藏了..好帖子... 2013-7-7 22:39 0
hcw 雪币： 16 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hcw 69 楼直接从内存中加载DLL,自己做重定位,也行的. 2013-8-27 14:48 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 70 楼 mark 2014-3-6 18:55 0
鸿鹄zhb 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	鸿鹄zhb 71 楼很不错的帖子 2014-3-19 21:39 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 72 楼 mark，正看到了这个技术。 2014-10-3 22:08 0
majy 雪币： 8 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	majy 73 楼留名，存帖 2014-10-9 18:38 0
wem 雪币： 516 活跃值： (3146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 239 粉丝 3 关注私信	wem 74 楼顶 2020-10-18 08:06 0
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 37 关注私信	低调putchar 1 75 楼 2008年的老贴了！不过还有个尾没有收完！只分析了EumProcessModules中读取到了：stProcessBasicInfo.PebBaseAddress->LDR，但凭什么说是枚举的是InMemoryOrderModuleList？这里给你补上： .text:76BC1F4E mov eax, [ebp-24h] ;stProcessBasicInfo.PebBaseAddress->LDR .text:76BC1F51 add eax, 14h ;&stProcessBasicInfo.PebBaseAddress->LDR->InMemoryOrderModuleList .text:76BC1F54 mov [ebp-28h], eax .text:76BC1F57 push ebx ；NULL .text:76BC1F58 push 4 ;Length .text:76BC1F5A lea ecx, [ebp-20h] .text:76BC1F5D push ecx ;Buffer .text:76BC1F5E push eax ;&stProcessBasicInfo.PebBaseAddress->LDR->InMemoryOrderModuleList .text:76BC1F5F push dword ptr [ebp+8] ;hProcess .text:76BC1F62 call esi ; ReadProcessMemory 最后于 2020-10-28 21:04 被低调putchar编辑，原因： 2020-10-22 10:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复