原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子.

https://www.cnblogs.com/iBinary/p/9601860.html

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "stdafx.h"

#include <Windows.h>

#include <winnt.h>

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

} UNICODE_STRING;

typedef UNICODE_STRING *PUNICODE_STRING;

typedef const UNICODE_STRING *PCUNICODE_STRING;

/*

DLL 劫持的实现

1.首先我们加载我们想要劫持的DLL. 获取其DLLModule

2.遍历PEB中的模块表.找到->DllBae,修改为我们劫持DLL的hModule即可.

*/

#define LDRP_STATIC_LINK                        0x00000002

#define LDRP_IMAGE_DLL                          0x00000004

#define LDRP_LOAD_IN_PROGRESS                   0x00001000

#define LDRP_UNLOAD_IN_PROGRESS                 0x00002000

#define LDRP_ENTRY_PROCESSED                    0x00004000

#define LDRP_ENTRY_INSERTED                     0x00008000

#define LDRP_CURRENT_LOAD                       0x00010000

#define LDRP_FAILED_BUILTIN_LOAD                0x00020000

#define LDRP_DONT_CALL_FOR_THREADS              0x00040000

#define LDRP_PROCESS_ATTACH_CALLED              0x00080000

#define LDRP_DEBUG_SYMBOLS_LOADED               0x00100000

#define LDRP_IMAGE_NOT_AT_BASE                  0x00200000

#define LDRP_COR_IMAGE                          0x00400000

#define LDR_COR_OWNS_UNMAP                      0x00800000

#define LDRP_SYSTEM_MAPPED                      0x01000000

#define LDRP_IMAGE_VERIFYING                    0x02000000

#define LDRP_DRIVER_DEPENDENT_DLL               0x04000000

#define LDRP_ENTRY_NATIVE                       0x08000000

#define LDRP_REDIRECTED                         0x10000000

#define LDRP_NON_PAGED_DEBUG_INFO               0x20000000

#define LDRP_MM_LOADED                          0x40000000

#define LDRP_COMPAT_DATABASE_PROCESSED          0x80000000

typedef struct _LDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY HashLinks;

        PVOID SectionPointer;

    };

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;

    PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {

    ULONG				   Length;

    BOOLEAN				 Initialized;

    PVOID				   SsHandle;

    LIST_ENTRY			  InLoadOrderModuleList;		  //按加载顺序

    LIST_ENTRY			  InMemoryOrderModuleList;		//按内存顺序

    LIST_ENTRY			  InInitializationOrderModuleList;//按初始化顺序

    PVOID		  EntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {

    LIST_ENTRY			InLoadOrderModuleList;

    LIST_ENTRY			InMemoryOrderModuleList;

    LIST_ENTRY			InInitializationOrderModuleList;

    PVOID				BaseAddress;

    PVOID				EntryPoint;

    ULONG				SizeOfImage;

    UNICODE_STRING		FullDllName;

    UNICODE_STRING		BaseDllName;

    ULONG				Flags;

    SHORT				LoadCount;

    SHORT				TlsIndex;

    LIST_ENTRY			HashTableEntry;

    ULONG				TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;

void PreprocessUnloadDll(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule))

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

            {

                return;

            }

        }

        //

        //	设置 LDRP_PROCESS_ATTACH_CALLED

        //

        GurrentModule->Flags |= LDRP_PROCESS_ATTACH_CALLED;

        //

        //	设置

        //

        int oldLoadCount = GurrentModule->LoadCount;

        GurrentModule->LoadCount = 1;

        return;

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

VOID HideModule(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule)) //判断结束位置

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

                break;

        }

        if (GurrentModule->BaseAddress != hLibModule)

            return;

        //

        //	Dll解除链接

        //

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule->InLoadOrderModuleList.Blink;

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;

        memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);

        memset(GurrentModule, 0, sizeof(PLDR_MODULE));

        PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)hLibModule;

        PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)(LPBYTE(hLibModule) + dosHeader->e_lfanew);

        if ((dosHeader->e_magic == IMAGE_DOS_SIGNATURE) && (ntHeaders->Signature == IMAGE_NT_SIGNATURE))

        {

            memset(dosHeader, 0, sizeof(*dosHeader));

            memset(ntHeaders, 0, sizeof(*ntHeaders));

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        HideModule(hModule);

        return TRUE;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

检测:



 MEMORY_BASIC_INFORMATION mbi_thunk;

 PVOID AllocationBase = NULL;

 TCHAR FilePath[MAX_PATH];

 for (LPSTR Addr = (LPSTR)0x00000000; ::VirtualQueryEx(hProcess, Addr, &mbi_thunk, sizeof(mbi_thunk)); Addr = LPSTR(mbi_thunk.BaseAddress) + mbi_thunk.RegionSize)

 {

  if ((mbi_thunk.AllocationBase > AllocationBase) && (GetMappedFileName(hProcess, mbi_thunk.BaseAddress, FilePath, _countof(FilePath)) > 0))

  {

   AllocationBase = mbi_thunk.AllocationBase;

   KdPrint((_T("MODULE:%x, %s\r\n"), AllocationBase, FilePath));

  }

 }

x32下的DLL隐藏的更多相关文章

  1. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  2. 深入Delphi下的DLL编程

    深入Delphi下的DLL编程 作者:岑心 引 言 相信有些计算机知识的朋友都应该听说过“DLL”.尤其是那些使用过windows操作系统的人,都应该有过多次重装系统的“悲惨”经历——无论再怎样小心, ...

  3. html select 下拉箭头隐藏

    html select 下拉箭头隐藏 <!DOCTYPE html> <html> <head lang="en"> <meta char ...

  4. win7下建立超级隐藏账户

    win7下建立超级隐藏账户 实验目的: 隐藏用户,不让管理员简单的发现 隐藏方法: 1.命令提示符中创建隐藏账户这种方法只能将账户在"命令提示符"中进行隐藏,而对于"计算 ...

  5. Golang调用windows下的dll动态库中的函数

    Golang调用windows下的dll动态库中的函数 使用syscall调用. package main import ( "fmt" "syscall" & ...

  6. MFC下的DLL编程学习

    1.DLL库与LIB库对比: 静态链接库Lib(Static Link Library),是在编译的链接阶段将库函数嵌入到应用程序的内部.如果系统中运行的多个应用程序都包含所用到的公共库函数,则必然造 ...

  7. VS2005环境下的DLL应用

    VS2005环境下的DLL应用 作者:一点一滴的Beer http://beer.cnblogs.com/ 以前写过一篇题为<VC++的DLL应用(含Demo演示)>的文章,当时是刚开始接 ...

  8. win7 下注册dll文件失败

    1.win7 下注册dll文件失败,提示模块“xx.dll”已加载,但找不到入口点DllRegisterServer 原因:该dll文件非可注册组件,没有包含DllRegisterServer函数,可 ...

  9. windows下编写dll

    dll的优点 简单的说,dll有以下几个优点: 1) 节省内存.同一个软件模块,若是以源代码的形式重用,则会被编译到不同的可执行程序中,同时运行这些exe时这些模块的二进制码会被重复加载到内存中.如果 ...

随机推荐

  1. 小程序加入echart 图表

    github上的地址 https://github.com/ecomfe/echarts-for-weixin 复制到当前项目根目录下 添加展示bar图表例子的文件夹 index.json 中配置使用 ...

  2. python中format函数用于字符串的格式化

    python中format函数用于字符串的格式化 通过关键字 print('{名字}今天{动作}'.format(名字='陈某某',动作='拍视频'))#通过关键字 grade = {'name' : ...

  3. 【转载】C#中Convert.ToDecimal方法将字符串转换为decimal类型

    在C#编程过程中,可以使用Convert.ToDecimal方法将字符串或者其他可转换为数字的对象变量转换为十进制decimal类型,Convert.ToDecimal方法有多个重载方法,最常使用的一 ...

  4. Android选项卡TabHost功能和用法

    1.布局文件 <TabHost xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools= ...

  5. Python学习笔记-数字,列表,元祖,切片,循环

    数字 1,加减乘除:+,-,*,/ 2,平方:** 3,立方:**3 4,字符串转换:str(数字) 5,浮点数:带小数点  0.2 Python编程建议 import this >>&g ...

  6. Web开发基础知识

    综述 最近开始Java Web方面的工作,千里之行始于足下,我们在开发过程中要善于总结自己遇到的问题.善于管理一些优秀的代码片段.本文的主要内容是Web开发的基础知识,对于大牛来说可以忽略,对于初入W ...

  7. 图说jdk1.8新特性(5)--- 编译器新特性

    /** * Returns the name of the parameter. If the parameter's name is * {@linkplain #isNamePresent() p ...

  8. 【RAC】 RAC For W2K8R2 安装--grid的安装(四)

    [RAC] RAC For W2K8R2 安装--grid的安装(四) 一.1  BLOG文档结构图 一.2  前言部分 一.2.1  导读 各位技术爱好者,看完本文后,你可以掌握如下的技能,也可以学 ...

  9. day 02 预科

    目录 什么是编程语言 什么是编程 为什么要编程 计算机的组成 CPU 存储器 I/O设备(Input/Output设备) 输入设备 输出设备 多核CPU 32位和64位 机械硬盘工作原理 机械手臂 磁 ...

  10. golang方法和接口

    一.  go方法 go方法:在函数的func和函数名间增加一个特殊的接收器类型,接收器可以是结构体类型或非结构体类型.接收器可以在方法内部访问.创建一个接收器类型为Type的methodName方法. ...