原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子.

https://www.cnblogs.com/iBinary/p/9601860.html

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "stdafx.h"

#include <Windows.h>

#include <winnt.h>

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

} UNICODE_STRING;

typedef UNICODE_STRING *PUNICODE_STRING;

typedef const UNICODE_STRING *PCUNICODE_STRING;

/*

DLL 劫持的实现

1.首先我们加载我们想要劫持的DLL. 获取其DLLModule

2.遍历PEB中的模块表.找到->DllBae,修改为我们劫持DLL的hModule即可.

*/

#define LDRP_STATIC_LINK                        0x00000002

#define LDRP_IMAGE_DLL                          0x00000004

#define LDRP_LOAD_IN_PROGRESS                   0x00001000

#define LDRP_UNLOAD_IN_PROGRESS                 0x00002000

#define LDRP_ENTRY_PROCESSED                    0x00004000

#define LDRP_ENTRY_INSERTED                     0x00008000

#define LDRP_CURRENT_LOAD                       0x00010000

#define LDRP_FAILED_BUILTIN_LOAD                0x00020000

#define LDRP_DONT_CALL_FOR_THREADS              0x00040000

#define LDRP_PROCESS_ATTACH_CALLED              0x00080000

#define LDRP_DEBUG_SYMBOLS_LOADED               0x00100000

#define LDRP_IMAGE_NOT_AT_BASE                  0x00200000

#define LDRP_COR_IMAGE                          0x00400000

#define LDR_COR_OWNS_UNMAP                      0x00800000

#define LDRP_SYSTEM_MAPPED                      0x01000000

#define LDRP_IMAGE_VERIFYING                    0x02000000

#define LDRP_DRIVER_DEPENDENT_DLL               0x04000000

#define LDRP_ENTRY_NATIVE                       0x08000000

#define LDRP_REDIRECTED                         0x10000000

#define LDRP_NON_PAGED_DEBUG_INFO               0x20000000

#define LDRP_MM_LOADED                          0x40000000

#define LDRP_COMPAT_DATABASE_PROCESSED          0x80000000

typedef struct _LDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY HashLinks;

        PVOID SectionPointer;

    };

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;

    PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {

    ULONG				   Length;

    BOOLEAN				 Initialized;

    PVOID				   SsHandle;

    LIST_ENTRY			  InLoadOrderModuleList;		  //按加载顺序

    LIST_ENTRY			  InMemoryOrderModuleList;		//按内存顺序

    LIST_ENTRY			  InInitializationOrderModuleList;//按初始化顺序

    PVOID		  EntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {

    LIST_ENTRY			InLoadOrderModuleList;

    LIST_ENTRY			InMemoryOrderModuleList;

    LIST_ENTRY			InInitializationOrderModuleList;

    PVOID				BaseAddress;

    PVOID				EntryPoint;

    ULONG				SizeOfImage;

    UNICODE_STRING		FullDllName;

    UNICODE_STRING		BaseDllName;

    ULONG				Flags;

    SHORT				LoadCount;

    SHORT				TlsIndex;

    LIST_ENTRY			HashTableEntry;

    ULONG				TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;

void PreprocessUnloadDll(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule))

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

            {

                return;

            }

        }

        //

        //	设置 LDRP_PROCESS_ATTACH_CALLED

        //

        GurrentModule->Flags |= LDRP_PROCESS_ATTACH_CALLED;

        //

        //	设置

        //

        int oldLoadCount = GurrentModule->LoadCount;

        GurrentModule->LoadCount = 1;

        return;

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

VOID HideModule(HMODULE hLibModule)

{

    PPEB_LDR_DATA	pLdr = NULL;

    PLDR_MODULE		FirstModule = NULL;

    PLDR_MODULE		GurrentModule = NULL;

    __try

    {

        __asm

        {

            mov esi, fs:[0x30]

            mov esi, [esi + 0x0C]

            mov pLdr, esi

        }

        FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);

        GurrentModule = FirstModule;

        while (!(GurrentModule->BaseAddress == hLibModule)) //判断结束位置

        {

            GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);

            if (GurrentModule == FirstModule)

                break;

        }

        if (GurrentModule->BaseAddress != hLibModule)

            return;

        //

        //	Dll解除链接

        //

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule->InLoadOrderModuleList.Blink;

        ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;

        memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);

        memset(GurrentModule, 0, sizeof(PLDR_MODULE));

        PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)hLibModule;

        PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)(LPBYTE(hLibModule) + dosHeader->e_lfanew);

        if ((dosHeader->e_magic == IMAGE_DOS_SIGNATURE) && (ntHeaders->Signature == IMAGE_NT_SIGNATURE))

        {

            memset(dosHeader, 0, sizeof(*dosHeader));

            memset(ntHeaders, 0, sizeof(*ntHeaders));

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        return;

    }

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        HideModule(hModule);

        return TRUE;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

检测:



 MEMORY_BASIC_INFORMATION mbi_thunk;

 PVOID AllocationBase = NULL;

 TCHAR FilePath[MAX_PATH];

 for (LPSTR Addr = (LPSTR)0x00000000; ::VirtualQueryEx(hProcess, Addr, &mbi_thunk, sizeof(mbi_thunk)); Addr = LPSTR(mbi_thunk.BaseAddress) + mbi_thunk.RegionSize)

 {

  if ((mbi_thunk.AllocationBase > AllocationBase) && (GetMappedFileName(hProcess, mbi_thunk.BaseAddress, FilePath, _countof(FilePath)) > 0))

  {

   AllocationBase = mbi_thunk.AllocationBase;

   KdPrint((_T("MODULE:%x, %s\r\n"), AllocationBase, FilePath));

  }

 }

x32下的DLL隐藏的更多相关文章

  1. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  2. 深入Delphi下的DLL编程

    深入Delphi下的DLL编程 作者:岑心 引 言 相信有些计算机知识的朋友都应该听说过“DLL”.尤其是那些使用过windows操作系统的人,都应该有过多次重装系统的“悲惨”经历——无论再怎样小心, ...

  3. html select 下拉箭头隐藏

    html select 下拉箭头隐藏 <!DOCTYPE html> <html> <head lang="en"> <meta char ...

  4. win7下建立超级隐藏账户

    win7下建立超级隐藏账户 实验目的: 隐藏用户,不让管理员简单的发现 隐藏方法: 1.命令提示符中创建隐藏账户这种方法只能将账户在"命令提示符"中进行隐藏,而对于"计算 ...

  5. Golang调用windows下的dll动态库中的函数

    Golang调用windows下的dll动态库中的函数 使用syscall调用. package main import ( "fmt" "syscall" & ...

  6. MFC下的DLL编程学习

    1.DLL库与LIB库对比: 静态链接库Lib(Static Link Library),是在编译的链接阶段将库函数嵌入到应用程序的内部.如果系统中运行的多个应用程序都包含所用到的公共库函数,则必然造 ...

  7. VS2005环境下的DLL应用

    VS2005环境下的DLL应用 作者:一点一滴的Beer http://beer.cnblogs.com/ 以前写过一篇题为<VC++的DLL应用(含Demo演示)>的文章,当时是刚开始接 ...

  8. win7 下注册dll文件失败

    1.win7 下注册dll文件失败,提示模块“xx.dll”已加载,但找不到入口点DllRegisterServer 原因:该dll文件非可注册组件,没有包含DllRegisterServer函数,可 ...

  9. windows下编写dll

    dll的优点 简单的说,dll有以下几个优点: 1) 节省内存.同一个软件模块,若是以源代码的形式重用,则会被编译到不同的可执行程序中,同时运行这些exe时这些模块的二进制码会被重复加载到内存中.如果 ...

随机推荐

  1. pandas.to_datetime() 只保留【年-月-日】

    Outline pandas.to_datetime()  生成的日期会默认带有 [2019-07-03 00:00:00]的分钟精度:但有时并不需要这些分钟精度: 去掉分钟精度 可以通过pandas ...

  2. python爬虫-有道翻译-js加密破解

    有道翻译-js加密破解 这是本地爬取的网址:http://fanyi.youdao.com/ 一.分析请求 我们在页面中输入:水果,翻译后的英文就是:fruit.请求携带的参数有很多,先将参数数据保存 ...

  3. Java之路---Day11(接口)

    2019-10-25-23:22:23 目录 1.接口的概念 2.接口的定义格式 3.接口包含的内容 4.接口的使用步骤 5.继承父类并实现多个接口 6.接口之间的多继承 接口的概念 接口是指对协定进 ...

  4. PE系统——安装教程

    本教程使用到的软件我会在本文末给出,若失效了请私信我,重新上传. 1.安装PE系统前,把U盘插在电脑上(如果你需要安装Windows10系统,请插入一个容量至少8G的U盘).当然容量最好是32—64G ...

  5. sqlserver 保存 立方米(m³)

    转载来源:https://bbs.csdn.net/topics/370186797 解决方案:在前面加 N,如:N'm³' 案例: create table tbn(name nvarchar(10 ...

  6. 通过cmd命令将jar放到maven仓库

    如:将jar包直接拷贝到mave仓库的文件夹是不能直接使用的,需要通过cmd命令将jar生产maven可用的 mvn install:install-file -Dfile=iTextAsian-1. ...

  7. SQL SERVER升级2017

    SQL SERVER升级2017 摘要 本文只介绍了SQL SERVER升级到2017(在简单环境下),分为开始升级前的检查事项,升级操作步骤,升级后对新实例的配置. 检查事项 1.检查当前版本是否可 ...

  8. manjaro跳坑记

    why manjaro 有两个原因: 我的电脑上win10+ubuntu16.04,ubuntu上跑一个程序会crash导致重启,不知道如何排查,想换个系统试试.(别人机器上同样G++版本不会cras ...

  9. webapi之owin的oauth2.0密码模式_01概述

    一般在webapi接口中,为了防止接口被随意调用,都会验证用户身份. 然而不能每次调用接口都需要用户输入用户名密码来验证,这时就需要授权颁发令牌了,持有令牌就可以访问接口,接口也能验证令牌身份. 简单 ...

  10. MYSQL中常见的时间处理

    use test; select getdate() select sysdate(); select now(); select current_timestamp select current_t ...