[原创]修改已加载DLL的模块名和路径-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]修改已加载DLL的模块名和路径

发表于: 2008-7-31 16:48 21431

[原创]修改已加载DLL的模块名和路径

achillis

2008-7-31 16:48

21431

标题: 【原创】修改已加载DLL的模块名和路径
作者: achillis
时间: 2008-07-31,16:50
链接: http://bbs.pediy.com/showthread.php?t=69730

简单说就是修改PEB中的内容，从修改PEB中的进程路径想到的，纯属小玩意儿，大牛牛飘过～

首先说说从PEB中获取已加载的模块信息，这个不清楚的可以参考下面这篇文章：
http://bbs.pediy.com/showthread.php?t=59932

里面讲得很清楚了，实在好文，我不再多说哈
在获取到每一个模块的信息时，需要用到以下结构：
typedef struct _LDR_MODULE
{
LIST_ENTRY       InLoadOrderModuleList;
LIST_ENTRY       InMemoryOrderModuleList;
LIST_ENTRY       InInitializationOrderModuleList;
void*             BaseAddress;
void*             EntryPoint;
ULONG             SizeOfImage;
UNICODE_STRING  　 FullDllName;　//全路径
UNICODE_STRING    BaseDllName; //模块名称
ULONG             Flags;
SHORT             LoadCount;
SHORT             TlsIndex;
HANDLE             SectionHandle;
ULONG             CheckSum;
ULONG             TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE

加红的两项就是我们要修改的内容了．用代码说话：
#include <windows.h>
#include <stdio.h>

typedef struct _UNICODE_STRING
{
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _PEB_LDR_DATA
{
ULONG Length;
BOOLEAN Initialized;
PVOID SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA,*PPEB_LDR_DATA;

typedef struct _LDR_MODULE
{
LIST_ENTRY       InLoadOrderModuleList;
LIST_ENTRY       InMemoryOrderModuleList;
LIST_ENTRY       InInitializationOrderModuleList;
void*             BaseAddress;
void*             EntryPoint;
ULONG             SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING    BaseDllName;
ULONG             Flags;
SHORT             LoadCount;
SHORT             TlsIndex;
HANDLE             SectionHandle;
ULONG             CheckSum;
ULONG             TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

int main(int argc, char* argv[])
{
PEB_LDR_DATA *pPEBLDR;
LDR_MODULE *pLdrMod;
LIST_ENTRY *pListEntry,*pStart;
DWORD dwKernelBase;
PWSTR fakemodulename=L"假名字啊";
PWSTR fakemodulepath=L"这是假路径，看能骗到谁";
_asm
{
mov eax,fs:[0x30] //TEB->PEB
mov eax,[eax+0xC] //PEB->Ldr
mov pPEBLDR,eax
}
printf("准备改名字了...\n");
dwKernelBase=(DWORD)GetModuleHandle("kernel32.dll");
printf("Base of kernel32.dll is 0x%08x\n",dwKernelBase);
pStart=pListEntry=(LIST_ENTRY*)(PUCHAR)&(pPEBLDR->InLoadOrderModuleList);
do
{
pListEntry=pListEntry->Flink;
pLdrMod=(LDR_MODULE*)(pListEntry);
if ((DWORD)pLdrMod->BaseAddress==dwKernelBase)
{
printf("Found kernel32.dll...");
lstrcpyW(pLdrMod->BaseDllName.Buffer,fakemodulename);
lstrcpyW(pLdrMod->FullDllName.Buffer,fakemodulepath);
printf("Change OK.\n");
break;
}

} while(pListEntry!=pStart);
printf("现在你可以用工具来看看本进程的模块列表\n");
while (1)
{
Sleep(1000);
}
return 0;
}

不喜欢结构的可以自己用偏移代替～～
附效果图,修改了user32.dll的，(用RKU查看的)：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

60728c83a07a92a86c811983.jpg （26.26kb，1171次下载）
ChangeModulePath.rar （19.04kb，336次下载）

收藏・34

免费・7

支持

最新回复 (22)
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 2 楼不错不错 2008-7-31 17:17 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 3 楼 ZwQueryXXX就出来真名了~~ 2008-7-31 17:30 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼老Ｖ现身了～ 2008-7-31 17:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼恩，骗了好多工具，就是过不了IS的ZwQueryVXXX 2008-7-31 17:49 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 6 楼不错不错 2008-7-31 19:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼谢谢分享，喜欢这样有摸索精神的小朋友 2008-7-31 21:31 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼大米觉得我的代码风格怎么样？ 2008-7-31 22:44 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 9 楼我已经做到这一点了额~~~答案是VAD。呵呵我弄出了XP的~Sysnap大牛弄出了2K3的。 2008-7-31 23:26 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 10 楼 lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER ... +0x11c VadRoot : Ptr32 Void +0x120 VadHint : Ptr32 Void 是这个吗？好像是二叉树？ 2008-8-1 00:01 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 11 楼嗯是的。可以隐藏，也可以修改。 http://bbs.pediy.com/showthread.php?t=66886 2008-8-1 10:04 0
迷茫小猪雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 151 粉丝 0 关注私信	迷茫小猪 12 楼以后看啊先标记一下 2008-8-1 11:05 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 13 楼没想过要隐藏DLL,学习了... 2008-8-1 20:58 0
halfsoul 雪币： 147 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	halfsoul 14 楼不知道LZ有没试过在ring0下改其它进程的PEB，是行不通的。 2008-8-8 20:25 0
jiuhao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	jiuhao 15 楼这个方法好像不错！ 2008-8-8 22:47 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 16 楼还没试过，为什么行不通？ KeAttachProcess/KeStackAttackProcess切换到指定进程，然后修改不行吗？ 2008-8-9 00:21 0
halfsoul 雪币： 147 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	halfsoul 17 楼 KeAttachProcess以后， __asm{ mov eax,fs:[0x124] //ETHREAD mov eax, [eax+44] //EPROCESS mov eax, [eax+0x1B0]//peb mov peb, eax } 我随便写得，你试一下，我当初也是想KeAttachProcess/KeStackAttackProcess切换到指定进程，然后挂了。。这种方法连PEB都读不出不用这种方法，直接PsLookupProces**yProcessId得到EPROCESS，然后找PEB，这种方法可以读出PEB，但是在想读ldr就挂了，不解中。。。。。。郁闷，等待高手解惑ing...... http://hi.baidu.com/hljleo/blog/item/838cce082a2b2436e92488d9.html 去看看这篇文章和评论。 2008-8-9 02:19 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 18 楼好！合影留念 2008-8-22 01:46 0
hbfp 雪币： 223 活跃值： (287) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 19 楼正在找这个,谢谢! 2009-5-19 20:07 0
whrcartoon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	whrcartoon 20 楼 IceSword　过不了，其他没测试 2009-6-1 10:33 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 21 楼说了过不了IS的,能没有就没有，不能没有的就藏之，藏不了就伪装~ 2009-6-1 11:13 0
wanynal 雪币： 983 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	wanynal 22 楼不错学习学习谢了先 2009-6-1 13:19 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 23 楼如果能在创建子进程的时候,动态修改子进程加载的DLL为指定的DLL就更完美了，，当然是同名的替换 2009-6-28 08:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

achillis

发帖

2032

回帖

610

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 2 楼不错不错 2008-7-31 17:17 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 3 楼 ZwQueryXXX就出来真名了~~ 2008-7-31 17:30 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼老Ｖ现身了～ 2008-7-31 17:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼恩，骗了好多工具，就是过不了IS的ZwQueryVXXX 2008-7-31 17:49 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 6 楼不错不错 2008-7-31 19:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼谢谢分享，喜欢这样有摸索精神的小朋友 2008-7-31 21:31 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼大米觉得我的代码风格怎么样？ 2008-7-31 22:44 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 9 楼我已经做到这一点了额~~~答案是VAD。呵呵我弄出了XP的~Sysnap大牛弄出了2K3的。 2008-7-31 23:26 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 10 楼 lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER ... +0x11c VadRoot : Ptr32 Void +0x120 VadHint : Ptr32 Void 是这个吗？好像是二叉树？ 2008-8-1 00:01 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 11 楼嗯是的。可以隐藏，也可以修改。 http://bbs.pediy.com/showthread.php?t=66886 2008-8-1 10:04 0
迷茫小猪雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 151 粉丝 0 关注私信	迷茫小猪 12 楼以后看啊先标记一下 2008-8-1 11:05 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 13 楼没想过要隐藏DLL,学习了... 2008-8-1 20:58 0
halfsoul 雪币： 147 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	halfsoul 14 楼不知道LZ有没试过在ring0下改其它进程的PEB，是行不通的。 2008-8-8 20:25 0
jiuhao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	jiuhao 15 楼这个方法好像不错！ 2008-8-8 22:47 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 16 楼还没试过，为什么行不通？ KeAttachProcess/KeStackAttackProcess切换到指定进程，然后修改不行吗？ 2008-8-9 00:21 0
halfsoul 雪币： 147 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	halfsoul 17 楼 KeAttachProcess以后， __asm{ mov eax,fs:[0x124] //ETHREAD mov eax, [eax+44] //EPROCESS mov eax, [eax+0x1B0]//peb mov peb, eax } 我随便写得，你试一下，我当初也是想KeAttachProcess/KeStackAttackProcess切换到指定进程，然后挂了。。这种方法连PEB都读不出不用这种方法，直接PsLookupProces**yProcessId得到EPROCESS，然后找PEB，这种方法可以读出PEB，但是在想读ldr就挂了，不解中。。。。。。郁闷，等待高手解惑ing...... http://hi.baidu.com/hljleo/blog/item/838cce082a2b2436e92488d9.html 去看看这篇文章和评论。 2008-8-9 02:19 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 18 楼好！合影留念 2008-8-22 01:46 0
hbfp 雪币： 223 活跃值： (287) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 19 楼正在找这个,谢谢! 2009-5-19 20:07 0
whrcartoon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	whrcartoon 20 楼 IceSword　过不了，其他没测试 2009-6-1 10:33 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 21 楼说了过不了IS的,能没有就没有，不能没有的就藏之，藏不了就伪装~ 2009-6-1 11:13 0
wanynal 雪币： 983 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	wanynal 22 楼不错学习学习谢了先 2009-6-1 13:19 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 23 楼如果能在创建子进程的时候,动态修改子进程加载的DLL为指定的DLL就更完美了，，当然是同名的替换 2009-6-28 08:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复