原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子.

https://www.cnblogs.com/iBinary/p/9601860.html

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "stdafx.h"

#include <Windows.h>

#include <winnt.h>

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

} UNICODE_STRING;

typedef UNICODE_STRING *PUNICODE_STRING;

typedef const UNICODE_STRING *PCUNICODE_STRING;

/*

DLL 劫持的实现

1.首先我们加载我们想要劫持的DLL. 获取其DLLModule

2.遍历PEB中的模块表.找到->DllBae,修改为我们劫持DLL的hModule即可.

*/

#define LDRP_STATIC_LINK                        0x00000002

#define LDRP_IMAGE_DLL                          0x00000004

#define LDRP_LOAD_IN_PROGRESS                   0x00001000

#define LDRP_UNLOAD_IN_PROGRESS                 0x00002000

#define LDRP_ENTRY_PROCESSED                    0x00004000

#define LDRP_ENTRY_INSERTED                     0x00008000

#define LDRP_CURRENT_LOAD                       0x00010000

#define LDRP_FAILED_BUILTIN_LOAD                0x00020000

#define LDRP_DONT_CALL_FOR_THREADS              0x00040000

#define LDRP_PROCESS_ATTACH_CALLED              0x00080000

#define LDRP_DEBUG_SYMBOLS_LOADED               0x00100000

#define LDRP_IMAGE_NOT_AT_BASE                  0x00200000

#define LDRP_COR_IMAGE                          0x00400000

#define LDR_COR_OWNS_UNMAP                      0x00800000

#define LDRP_SYSTEM_MAPPED                      0x01000000

#define LDRP_IMAGE_VERIFYING                    0x02000000

#define LDRP_DRIVER_DEPENDENT_DLL               0x04000000

#define LDRP_ENTRY_NATIVE                       0x08000000

#define LDRP_REDIRECTED                         0x10000000

#define LDRP_NON_PAGED_DEBUG_INFO               0x20000000

#define LDRP_MM_LOADED                          0x40000000

#define LDRP_COMPAT_DATABASE_PROCESSED          0x80000000

typedef struct _LDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY HashLinks;

        PVOID SectionPointer;

    };

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;

    PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {

    ULONG				   Length;

    BOOLEAN				 Initialized;

    PVOID				   SsHandle;

    LIST_ENTRY			  InLoadOrderModuleList;		  //按加载顺序

    LIST_ENTRY			  InMemoryOrderModuleList;		//按内存顺序

    LIST_ENTRY			  InInitializationOrderModuleList;//按初始化顺序

    PVOID		  EntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {

    LIST_ENTRY			InLoadOrderModuleList;

    LIST_ENTRY			InMemoryOrderModuleList;

    LIST_ENTRY			InInitializationOrderModuleList;

    PVOID				BaseAddress;

    PVOID				EntryPoint;

    ULONG				SizeOfImage;

    UNICODE_STRING		FullDllName;

    UNICODE_STRING		BaseDllName;

    ULONG				Flags;

    SHORT				LoadCount;

    SHORT				TlsIndex;

    LIST_ENTRY			HashTableEntry;

    ULONG				TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;

void PreprocessUnloadDll(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule))

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

            {

                return;

            }

        }

        //

        //	设置 LDRP_PROCESS_ATTACH_CALLED

        //

        GurrentModule->Flags |= LDRP_PROCESS_ATTACH_CALLED;

        //

        //	设置

        //

        int oldLoadCount = GurrentModule->LoadCount;

        GurrentModule->LoadCount = 1;

        return;

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

VOID HideModule(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule)) //判断结束位置

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

                break;

        }

        if (GurrentModule->BaseAddress != hLibModule)

            return;

        //

        //	Dll解除链接

        //

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule->InLoadOrderModuleList.Blink;

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;

        memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);

        memset(GurrentModule, 0, sizeof(PLDR_MODULE));

        PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)hLibModule;

        PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)(LPBYTE(hLibModule) + dosHeader->e_lfanew);

        if ((dosHeader->e_magic == IMAGE_DOS_SIGNATURE) && (ntHeaders->Signature == IMAGE_NT_SIGNATURE))

        {

            memset(dosHeader, 0, sizeof(*dosHeader));

            memset(ntHeaders, 0, sizeof(*ntHeaders));

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        HideModule(hModule);

        return TRUE;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

检测:



 MEMORY_BASIC_INFORMATION mbi_thunk;

 PVOID AllocationBase = NULL;

 TCHAR FilePath[MAX_PATH];

 for (LPSTR Addr = (LPSTR)0x00000000; ::VirtualQueryEx(hProcess, Addr, &mbi_thunk, sizeof(mbi_thunk)); Addr = LPSTR(mbi_thunk.BaseAddress) + mbi_thunk.RegionSize)

 {

  if ((mbi_thunk.AllocationBase > AllocationBase) && (GetMappedFileName(hProcess, mbi_thunk.BaseAddress, FilePath, _countof(FilePath)) > 0))

  {

   AllocationBase = mbi_thunk.AllocationBase;

   KdPrint((_T("MODULE:%x, %s\r\n"), AllocationBase, FilePath));

  }

 }

x32下的DLL隐藏的更多相关文章

  1. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  2. 深入Delphi下的DLL编程

    深入Delphi下的DLL编程 作者:岑心 引 言 相信有些计算机知识的朋友都应该听说过“DLL”.尤其是那些使用过windows操作系统的人,都应该有过多次重装系统的“悲惨”经历——无论再怎样小心, ...

  3. html select 下拉箭头隐藏

    html select 下拉箭头隐藏 <!DOCTYPE html> <html> <head lang="en"> <meta char ...

  4. win7下建立超级隐藏账户

    win7下建立超级隐藏账户 实验目的: 隐藏用户,不让管理员简单的发现 隐藏方法: 1.命令提示符中创建隐藏账户这种方法只能将账户在"命令提示符"中进行隐藏,而对于"计算 ...

  5. Golang调用windows下的dll动态库中的函数

    Golang调用windows下的dll动态库中的函数 使用syscall调用. package main import ( "fmt" "syscall" & ...

  6. MFC下的DLL编程学习

    1.DLL库与LIB库对比: 静态链接库Lib(Static Link Library),是在编译的链接阶段将库函数嵌入到应用程序的内部.如果系统中运行的多个应用程序都包含所用到的公共库函数,则必然造 ...

  7. VS2005环境下的DLL应用

    VS2005环境下的DLL应用 作者:一点一滴的Beer http://beer.cnblogs.com/ 以前写过一篇题为<VC++的DLL应用(含Demo演示)>的文章,当时是刚开始接 ...

  8. win7 下注册dll文件失败

    1.win7 下注册dll文件失败,提示模块“xx.dll”已加载,但找不到入口点DllRegisterServer 原因:该dll文件非可注册组件,没有包含DllRegisterServer函数,可 ...

  9. windows下编写dll

    dll的优点 简单的说,dll有以下几个优点: 1) 节省内存.同一个软件模块,若是以源代码的形式重用,则会被编译到不同的可执行程序中,同时运行这些exe时这些模块的二进制码会被重复加载到内存中.如果 ...

随机推荐

  1. linux 安装Python3.6

    1.安装依赖 yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel ...

  2. loj#10067 构造完全图(最小生成树)

    题目 loj#10067 构造完全图 解析 和kruscal类似,我们要构造一个完全图,考虑往这颗最小生成树里加边 我们先把每一条边存下来, 把两个端点分别放在不同的集合内,记录每个集合的大小,然后做 ...

  3. IPv4如何转换为IPv6?

    ipv6已经逐渐在应用,现在已经有很多的运营商支持ipv6,前天我们也发布了如何让电脑使用ipv6地址?有很多朋友在问?ipv6有什么作用,它的表示方式是什么,今天我们来一起来详细了解下ipv6相关计 ...

  4. Spring对于事务的控制@Transactional注解详解

    引用自:https://blog.csdn.net/fanxb92/article/details/81296005 先简单介绍一下Spring事务的传播行为: 所谓事务的传播行为是指,如果在开始当前 ...

  5. js基础闭包练习题

    题目描述 实现函数 makeClosures,调用之后满足如下条件:1.返回一个函数数组 result,长度与 arr 相同2.运行 result 中第 i 个函数,即 result[i](),结果与 ...

  6. 面试总结之Data Science

    数据科学家面试如何准备? https://mp.weixin.qq.com/s/uFJ58az8WRyaXT2nibK02g 2020 年算法 / 数据分析面试数学考点梳理 https://mp.we ...

  7. Hybris订单价格的折扣维护

    backoffice里创建一个新订单,维护一个行项目,添加一个产品: 在行项目的SubTotal界面,维护Base Price,在Discount values字段里,输入折扣信息:discount: ...

  8. 爬虫入门urlib,urlib2的基本使用和进阶

    python2中的urlib和urlib2 1.分分钟扒一个网页下来 怎样扒网页呢?其实就是根据URL来获取它的网页信息,虽然我们在浏览器中看到的是一幅幅优美的画面,但是其实是由浏览器解释才呈现出来的 ...

  9. 动态渲染左侧菜单栏 :menu tree 动态渲染

    其中后端代码不包含权限控制,同时支持二级(无子菜单) 和 三级菜单(无子菜单). 1.layui前端代码:(其他前端框架实现方法通用,不过需要修改js中append对应标签元素即可) <div ...

  10. OpenStack共享组件-RabbitMQ消息队列

    1. MQ 全称为 Message Queue, 消息队列( MQ ),是一种应用程序对应用程序的通信方法.应用程序通过读写出入队列的消息(针对应用程序的数据)来通信,而无需专用连接来链接它们. 消息 ...