原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子.

https://www.cnblogs.com/iBinary/p/9601860.html

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "stdafx.h"

#include <Windows.h>

#include <winnt.h>

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

} UNICODE_STRING;

typedef UNICODE_STRING *PUNICODE_STRING;

typedef const UNICODE_STRING *PCUNICODE_STRING;

/*

DLL 劫持的实现

1.首先我们加载我们想要劫持的DLL. 获取其DLLModule

2.遍历PEB中的模块表.找到->DllBae,修改为我们劫持DLL的hModule即可.

*/

#define LDRP_STATIC_LINK                        0x00000002

#define LDRP_IMAGE_DLL                          0x00000004

#define LDRP_LOAD_IN_PROGRESS                   0x00001000

#define LDRP_UNLOAD_IN_PROGRESS                 0x00002000

#define LDRP_ENTRY_PROCESSED                    0x00004000

#define LDRP_ENTRY_INSERTED                     0x00008000

#define LDRP_CURRENT_LOAD                       0x00010000

#define LDRP_FAILED_BUILTIN_LOAD                0x00020000

#define LDRP_DONT_CALL_FOR_THREADS              0x00040000

#define LDRP_PROCESS_ATTACH_CALLED              0x00080000

#define LDRP_DEBUG_SYMBOLS_LOADED               0x00100000

#define LDRP_IMAGE_NOT_AT_BASE                  0x00200000

#define LDRP_COR_IMAGE                          0x00400000

#define LDR_COR_OWNS_UNMAP                      0x00800000

#define LDRP_SYSTEM_MAPPED                      0x01000000

#define LDRP_IMAGE_VERIFYING                    0x02000000

#define LDRP_DRIVER_DEPENDENT_DLL               0x04000000

#define LDRP_ENTRY_NATIVE                       0x08000000

#define LDRP_REDIRECTED                         0x10000000

#define LDRP_NON_PAGED_DEBUG_INFO               0x20000000

#define LDRP_MM_LOADED                          0x40000000

#define LDRP_COMPAT_DATABASE_PROCESSED          0x80000000

typedef struct _LDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY HashLinks;

        PVOID SectionPointer;

    };

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;

    PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {

    ULONG				   Length;

    BOOLEAN				 Initialized;

    PVOID				   SsHandle;

    LIST_ENTRY			  InLoadOrderModuleList;		  //按加载顺序

    LIST_ENTRY			  InMemoryOrderModuleList;		//按内存顺序

    LIST_ENTRY			  InInitializationOrderModuleList;//按初始化顺序

    PVOID		  EntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {

    LIST_ENTRY			InLoadOrderModuleList;

    LIST_ENTRY			InMemoryOrderModuleList;

    LIST_ENTRY			InInitializationOrderModuleList;

    PVOID				BaseAddress;

    PVOID				EntryPoint;

    ULONG				SizeOfImage;

    UNICODE_STRING		FullDllName;

    UNICODE_STRING		BaseDllName;

    ULONG				Flags;

    SHORT				LoadCount;

    SHORT				TlsIndex;

    LIST_ENTRY			HashTableEntry;

    ULONG				TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;

void PreprocessUnloadDll(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule))

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

            {

                return;

            }

        }

        //

        //	设置 LDRP_PROCESS_ATTACH_CALLED

        //

        GurrentModule->Flags |= LDRP_PROCESS_ATTACH_CALLED;

        //

        //	设置

        //

        int oldLoadCount = GurrentModule->LoadCount;

        GurrentModule->LoadCount = 1;

        return;

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

VOID HideModule(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule)) //判断结束位置

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

                break;

        }

        if (GurrentModule->BaseAddress != hLibModule)

            return;

        //

        //	Dll解除链接

        //

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule->InLoadOrderModuleList.Blink;

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;

        memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);

        memset(GurrentModule, 0, sizeof(PLDR_MODULE));

        PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)hLibModule;

        PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)(LPBYTE(hLibModule) + dosHeader->e_lfanew);

        if ((dosHeader->e_magic == IMAGE_DOS_SIGNATURE) && (ntHeaders->Signature == IMAGE_NT_SIGNATURE))

        {

            memset(dosHeader, 0, sizeof(*dosHeader));

            memset(ntHeaders, 0, sizeof(*ntHeaders));

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        HideModule(hModule);

        return TRUE;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

检测:



 MEMORY_BASIC_INFORMATION mbi_thunk;

 PVOID AllocationBase = NULL;

 TCHAR FilePath[MAX_PATH];

 for (LPSTR Addr = (LPSTR)0x00000000; ::VirtualQueryEx(hProcess, Addr, &mbi_thunk, sizeof(mbi_thunk)); Addr = LPSTR(mbi_thunk.BaseAddress) + mbi_thunk.RegionSize)

 {

  if ((mbi_thunk.AllocationBase > AllocationBase) && (GetMappedFileName(hProcess, mbi_thunk.BaseAddress, FilePath, _countof(FilePath)) > 0))

  {

   AllocationBase = mbi_thunk.AllocationBase;

   KdPrint((_T("MODULE:%x, %s\r\n"), AllocationBase, FilePath));

  }

 }

x32下的DLL隐藏的更多相关文章

  1. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  2. 深入Delphi下的DLL编程

    深入Delphi下的DLL编程 作者:岑心 引 言 相信有些计算机知识的朋友都应该听说过“DLL”.尤其是那些使用过windows操作系统的人,都应该有过多次重装系统的“悲惨”经历——无论再怎样小心, ...

  3. html select 下拉箭头隐藏

    html select 下拉箭头隐藏 <!DOCTYPE html> <html> <head lang="en"> <meta char ...

  4. win7下建立超级隐藏账户

    win7下建立超级隐藏账户 实验目的: 隐藏用户,不让管理员简单的发现 隐藏方法: 1.命令提示符中创建隐藏账户这种方法只能将账户在"命令提示符"中进行隐藏,而对于"计算 ...

  5. Golang调用windows下的dll动态库中的函数

    Golang调用windows下的dll动态库中的函数 使用syscall调用. package main import ( "fmt" "syscall" & ...

  6. MFC下的DLL编程学习

    1.DLL库与LIB库对比: 静态链接库Lib(Static Link Library),是在编译的链接阶段将库函数嵌入到应用程序的内部.如果系统中运行的多个应用程序都包含所用到的公共库函数,则必然造 ...

  7. VS2005环境下的DLL应用

    VS2005环境下的DLL应用 作者:一点一滴的Beer http://beer.cnblogs.com/ 以前写过一篇题为<VC++的DLL应用(含Demo演示)>的文章,当时是刚开始接 ...

  8. win7 下注册dll文件失败

    1.win7 下注册dll文件失败,提示模块“xx.dll”已加载,但找不到入口点DllRegisterServer 原因:该dll文件非可注册组件,没有包含DllRegisterServer函数,可 ...

  9. windows下编写dll

    dll的优点 简单的说,dll有以下几个优点: 1) 节省内存.同一个软件模块,若是以源代码的形式重用,则会被编译到不同的可执行程序中,同时运行这些exe时这些模块的二进制码会被重复加载到内存中.如果 ...

随机推荐

  1. Visual Studio 2019 安装

    目录 写在前面 官网下载 安装 等待安装 启动 写在前面 目前工作的开发环境还是旧版本的Visual Studio 2013版.个人感觉还是有点跟不上时代更新迭代的节奏了.毕竟,技术在进步.如果我们也 ...

  2. 解决centos7下 selenium报错--unknown error: DevToolsActivePort file doesn't exist

    解决centos7下 selenium报错--unknown error: DevToolsActivePort file doesn't exist 早上在linux下用selenium启动Chro ...

  3. Mybatis自动生成代码,MyBatis Generator

    这还是在学校里跟老师学到的办法,然后随便在csdn下载一个并调试到可以用的状态. 基本由这几个文件组成,一个mysql连接的jar包.一个用于自动生成的配置文件,一个自动生成的jar包,运行jar包语 ...

  4. misc_register杂项设备

    include/linux/miscdevice.h 这些字符设备不符合预先确定的字符设备范畴 设备主设备号10 struct miscdevice { int minor; //次设备号(如果设置为 ...

  5. 给用过SAP CRM中间件的老哥老姐们讲讲SAP CPI

    最近Jerry由于项目需要,又得学习一个新工具:SAP Cloud Platform Integration,简称CPI,以前又叫做HCI - HANA Cloud Platform Integrat ...

  6. Spring IOC 总结

    IOC 简介 IOC是(Inversion of Control,控制反转)的简写.Spring提供IOC容器,将对象间的依赖关系交由Spring进行控制,避免硬编码所造成的的过度程序耦合.它由DI( ...

  7. laravel项目中通过nvmw安装node.js和npm 开发环境-- windows版

    windows版本安装 此教程执行的时候,网速一定要好.不然可能出现各种错误. 如果本文对你有用,请爱心点个赞,提高排名,帮助更多的人.谢谢大家!❤ git clone nvmw  直接从 githu ...

  8. 关于如何往Jupyter notebook添加可选的kernel

    关于如何往Jupyter notebook添加可选的kernel 1. Anaconda知识预热 管理虚拟环境 关于如何安装Anaconda,这里就不再一一赘述,安装完Anaconda,接下来我们就可 ...

  9. 自定义View(二),强大的Canvas

    本文转自:http://www.jcodecraeer.com/a/anzhuokaifa/androidkaifa/2012/1212/703.html Android中使用图形处理引擎,2D部分是 ...

  10. 【监控】jvisualvm之jmx远程连接 tomcat war启动应用

    一.tomcat相应jmx配置 1.在tomcat bin目录下的catalina.sh文件中添加如下配置: CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun. ...