原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子.

https://www.cnblogs.com/iBinary/p/9601860.html

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "stdafx.h"

#include <Windows.h>

#include <winnt.h>

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

} UNICODE_STRING;

typedef UNICODE_STRING *PUNICODE_STRING;

typedef const UNICODE_STRING *PCUNICODE_STRING;

/*

DLL 劫持的实现

1.首先我们加载我们想要劫持的DLL. 获取其DLLModule

2.遍历PEB中的模块表.找到->DllBae,修改为我们劫持DLL的hModule即可.

*/

#define LDRP_STATIC_LINK                        0x00000002

#define LDRP_IMAGE_DLL                          0x00000004

#define LDRP_LOAD_IN_PROGRESS                   0x00001000

#define LDRP_UNLOAD_IN_PROGRESS                 0x00002000

#define LDRP_ENTRY_PROCESSED                    0x00004000

#define LDRP_ENTRY_INSERTED                     0x00008000

#define LDRP_CURRENT_LOAD                       0x00010000

#define LDRP_FAILED_BUILTIN_LOAD                0x00020000

#define LDRP_DONT_CALL_FOR_THREADS              0x00040000

#define LDRP_PROCESS_ATTACH_CALLED              0x00080000

#define LDRP_DEBUG_SYMBOLS_LOADED               0x00100000

#define LDRP_IMAGE_NOT_AT_BASE                  0x00200000

#define LDRP_COR_IMAGE                          0x00400000

#define LDR_COR_OWNS_UNMAP                      0x00800000

#define LDRP_SYSTEM_MAPPED                      0x01000000

#define LDRP_IMAGE_VERIFYING                    0x02000000

#define LDRP_DRIVER_DEPENDENT_DLL               0x04000000

#define LDRP_ENTRY_NATIVE                       0x08000000

#define LDRP_REDIRECTED                         0x10000000

#define LDRP_NON_PAGED_DEBUG_INFO               0x20000000

#define LDRP_MM_LOADED                          0x40000000

#define LDRP_COMPAT_DATABASE_PROCESSED          0x80000000

typedef struct _LDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY HashLinks;

        PVOID SectionPointer;

    };

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;

    PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {

    ULONG				   Length;

    BOOLEAN				 Initialized;

    PVOID				   SsHandle;

    LIST_ENTRY			  InLoadOrderModuleList;		  //按加载顺序

    LIST_ENTRY			  InMemoryOrderModuleList;		//按内存顺序

    LIST_ENTRY			  InInitializationOrderModuleList;//按初始化顺序

    PVOID		  EntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {

    LIST_ENTRY			InLoadOrderModuleList;

    LIST_ENTRY			InMemoryOrderModuleList;

    LIST_ENTRY			InInitializationOrderModuleList;

    PVOID				BaseAddress;

    PVOID				EntryPoint;

    ULONG				SizeOfImage;

    UNICODE_STRING		FullDllName;

    UNICODE_STRING		BaseDllName;

    ULONG				Flags;

    SHORT				LoadCount;

    SHORT				TlsIndex;

    LIST_ENTRY			HashTableEntry;

    ULONG				TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;

void PreprocessUnloadDll(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule))

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

            {

                return;

            }

        }

        //

        //	设置 LDRP_PROCESS_ATTACH_CALLED

        //

        GurrentModule->Flags |= LDRP_PROCESS_ATTACH_CALLED;

        //

        //	设置

        //

        int oldLoadCount = GurrentModule->LoadCount;

        GurrentModule->LoadCount = 1;

        return;

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

VOID HideModule(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule)) //判断结束位置

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

                break;

        }

        if (GurrentModule->BaseAddress != hLibModule)

            return;

        //

        //	Dll解除链接

        //

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule->InLoadOrderModuleList.Blink;

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;

        memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);

        memset(GurrentModule, 0, sizeof(PLDR_MODULE));

        PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)hLibModule;

        PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)(LPBYTE(hLibModule) + dosHeader->e_lfanew);

        if ((dosHeader->e_magic == IMAGE_DOS_SIGNATURE) && (ntHeaders->Signature == IMAGE_NT_SIGNATURE))

        {

            memset(dosHeader, 0, sizeof(*dosHeader));

            memset(ntHeaders, 0, sizeof(*ntHeaders));

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        HideModule(hModule);

        return TRUE;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

检测:



 MEMORY_BASIC_INFORMATION mbi_thunk;

 PVOID AllocationBase = NULL;

 TCHAR FilePath[MAX_PATH];

 for (LPSTR Addr = (LPSTR)0x00000000; ::VirtualQueryEx(hProcess, Addr, &mbi_thunk, sizeof(mbi_thunk)); Addr = LPSTR(mbi_thunk.BaseAddress) + mbi_thunk.RegionSize)

 {

  if ((mbi_thunk.AllocationBase > AllocationBase) && (GetMappedFileName(hProcess, mbi_thunk.BaseAddress, FilePath, _countof(FilePath)) > 0))

  {

   AllocationBase = mbi_thunk.AllocationBase;

   KdPrint((_T("MODULE:%x, %s\r\n"), AllocationBase, FilePath));

  }

 }

x32下的DLL隐藏的更多相关文章

  1. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  2. 深入Delphi下的DLL编程

    深入Delphi下的DLL编程 作者:岑心 引 言 相信有些计算机知识的朋友都应该听说过“DLL”.尤其是那些使用过windows操作系统的人,都应该有过多次重装系统的“悲惨”经历——无论再怎样小心, ...

  3. html select 下拉箭头隐藏

    html select 下拉箭头隐藏 <!DOCTYPE html> <html> <head lang="en"> <meta char ...

  4. win7下建立超级隐藏账户

    win7下建立超级隐藏账户 实验目的: 隐藏用户,不让管理员简单的发现 隐藏方法: 1.命令提示符中创建隐藏账户这种方法只能将账户在"命令提示符"中进行隐藏,而对于"计算 ...

  5. Golang调用windows下的dll动态库中的函数

    Golang调用windows下的dll动态库中的函数 使用syscall调用. package main import ( "fmt" "syscall" & ...

  6. MFC下的DLL编程学习

    1.DLL库与LIB库对比: 静态链接库Lib(Static Link Library),是在编译的链接阶段将库函数嵌入到应用程序的内部.如果系统中运行的多个应用程序都包含所用到的公共库函数,则必然造 ...

  7. VS2005环境下的DLL应用

    VS2005环境下的DLL应用 作者:一点一滴的Beer http://beer.cnblogs.com/ 以前写过一篇题为<VC++的DLL应用(含Demo演示)>的文章,当时是刚开始接 ...

  8. win7 下注册dll文件失败

    1.win7 下注册dll文件失败,提示模块“xx.dll”已加载,但找不到入口点DllRegisterServer 原因:该dll文件非可注册组件,没有包含DllRegisterServer函数,可 ...

  9. windows下编写dll

    dll的优点 简单的说,dll有以下几个优点: 1) 节省内存.同一个软件模块,若是以源代码的形式重用,则会被编译到不同的可执行程序中,同时运行这些exe时这些模块的二进制码会被重复加载到内存中.如果 ...

随机推荐

  1. spring Boot 学习(四、Spring Boot与任务)

    一.异步任务 在Java应用中,绝大多数情况下都是通过同步的方式来实现交互处理的:但是在 处理与第三方系统交互的时候,容易造成响应迟缓的情况,之前大部分都是使用 多线程来完成此类任务,其实,在Spri ...

  2. 2019 竞技世界java面试笔试题 (含面试题解析)

    本人3年开发经验.18年年底开始跑路找工作,在互联网寒冬下成功拿到阿里巴巴.今日头条.竞技世界等公司offer,岗位是Java后端开发,最终选择去了竞技世界. 面试了很多家公司,感觉大部分公司考察的点 ...

  3. python day 18: thinking in UML与FTP作业重写

    目录 python day 18 1. thinking in UML读书小感 2. FTP作业重写 2.1 软件目录结构 2.2 FTPClient端脚本 2.3 FTPServer端脚本 pyth ...

  4. Kali 2019(debian linux)安装MySql5.7.x

    Kali 2019(debian linux)安装MySql5.7.x MySQL安装 确认是否安装MySQL 终端输入:mysql 如出现Welcome to the MariaDB monitor ...

  5. Mac版StarUML破解方法

    StarUML是用nodejs写的.确切的说是用Electron前端框架写的.新版本中所有的starUML源代码是通过asar工具打包而成.确切的代码位置在“%LOCALAPPDATA%\Progra ...

  6. Solr字段类型

    一.一般属性 1.name fieldType的名称.该值用于字段定义中的类型属性,强烈建议名称仅包含字母数字和下划线,不能以数字开头[非强制]. 2.class 用于存储和索引此类型数据的类名.可以 ...

  7. Python的csv文件(csv模块)和ini文件(configparser模块)处理

    Python的csv文本文件(csv模块)和ini文本文件(configparser模块)处理 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.csv文件 1>.CSV文件 ...

  8. subprocess模块的使用注意

    subprocess.Popen()函数 语法格式: subprocess.Popen(arg,stdin=None,stdout=None,stderr=None,shell=False) 1.主要 ...

  9. QA流程

    一.测试人员的介入时间 1.当产品经理与业务人员制定需求的时候,测试人员不宜介入: 2.当下一期的需求原型出来以后,这个时候就进入了需求评审.需求分析阶段,此时,测试人员应该介入: 3.当开发人员在编 ...

  10. Tensorflow简单实践系列(一):安装和运行

    TensorFlow 是谷歌开发的机器学习框架. 安装 TensorFlow 直接使用 pip 安装即可,添加豆瓣镜像可以加快速度: pip install tensorflow -i https:/ ...