先来推广一下QQ群:61618925。欢迎各位爱好编程的加入。

在外挂或者病毒中,经常需要隐藏掉自己注入的DLL,以免被发现。下面就是一个隐藏DLL的通用模块,用的时候只需要加入到相关模块中即可。

详细代码如下:

#include <iostream>

using namespace std;

void HideModule(char *szModule)

{

    DWORD *PEB = NULL;

    DWORD *Ldr = NULL;

    DWORD *Flink = NULL;

    DWORD *p = NULL;

    DWORD *BaseAddress = NULL;

    DWORD *FullDllName = NULL;

    //定位PEB

    __asm

    {

        //fs位置保存着teb

        //fs:[0x30]位置保存着peb

        mov eax,fs:[0x30]

        mov PEB,eax

    }

    HMODULE hMod = GetModuleHandleA(szModule);

    //得到LDR

    Ldr = *((DWORD **)((unsigned char *)PEB + 0x0c));

    //第二条链表

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x0c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x18));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x28));

        if ((DWORD*)hMod == BaseAddress)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x14));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x10));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x20));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x1c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x8));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x18));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

}

int main(int argc, char **argv)

{

    HideModule("kernel32.dll");

    HideModule("ntdll.dll");

    HideModule("MSVCR90.dll");

    HideModule("KERNELBASE.dll");

    getchar();

    return ;

}

用我之前博客中的进程管理器查看本进程的DLL,可以发现找不到相应的DLL。

隐藏DLL的更多相关文章

  1. 如何隐藏DLL中,导出函数的名称?(转)

    如何隐藏DLL中,导出函数的名称?(转)   一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: L ...

  2. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  3. 如何隐藏DLL中,导出函数的名称?

    一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: LIBRARY EXPORTS HideFunc ...

  4. 钩子注入呼出与隐藏DLL窗口

    / MFC_DLL.cpp : 定义 DLL 的初始化例程. // #include "stdafx.h" #include "MFC_DLL.h" #incl ...

  5. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  6. 隐藏进程中的模块绕过IceSword的检测

    标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...

  7. dll导出函数的两种方式的比较

    最初的网页链接已经挂了, 在此贴一个中间的转载链接 https://blog.csdn.net/zhazhiqiang/article/details/51577523 一 概要 vs中导出 dll的 ...

  8. 反编译工具 使用.NET JustDecompile来反编译你的程序代码

    原文地址:http://www.it165.net/pro/html/201310/7383.html 前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序 ...

  9. 使用.NET JustDecompile来反编译你的程序代码

    前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序,由于因为是别人写的所以我们并没有原始码可以直接阅读,碰到这种情况我们就需要去反编译这些程序及 DLL ...

随机推荐

  1. 如何刪除GitHub中的repository

    如何刪除一github中的repository,這本該是個非常簡單的操作,可一開始搜的時候,有不少文章比較含糊.這裡就記錄下來吧. 1.訪問https://github.com/settings/pr ...

  2. Visual Stadio 2015创建WebApplication应用和运行赏析

    专题图: 1,创建一个WebApplication应用 2,项目结构和布局  3,运行项目 作者:ylbtech出处:http://ylbtech.cnblogs.com/本文版权归作者和博客园共有, ...

  3. 第4章 管道和FIFO

    4.1 管道 管道是由pipe函数创建的,提供一个单向数据流. 头文件 #include <unistd.h> 函数原型 int pipe(int fd[2]); 返回值 成功则为0,出错 ...

  4. 在Windows 7上安装MongoDB 2.6.7

    sc.exe create MongoDB binPath= "C:\mongodb\bin\mongod.exe --service --config=\"C:\mongodb\ ...

  5. c# as

    as:用于检查在兼容的引用类型之间执行某些类型的转换. Employee myEmployee = myObject as Employee; if (myEmployee != null) { } ...

  6. memcached命令行参数说明(转)

    1.启动Memcache 常用参数 -p <num>      设置TCP端口号(默认不设置为: 11211) -U <num>      UDP监听端口(默认: 11211, ...

  7. [ActionScript 3.0] AS3 深入理解Flash的安全沙箱Security Domains

    简介 如果你还没有与复杂的的安全域(security domain)和应用程序域(application domain)问题打过交道,那么你真是个幸运的家伙.当你在加载外部内容(然后他们开始播放)的时 ...

  8. java 线程同步 原理 sleep和wait区别

    java线程同步的原理java会为每个Object对象分配一个monitor, 当某个对象(实例)的同步方法(synchronized methods)被多个线程调用时,该对象的monitor将负责处 ...

  9. PS 的参考线

    新建参考线 菜单:"视图-新建参考线", 直接输入想要位置的参考线.   参考线对齐 按住Shift键拉辅助线,辅助线会自动对齐到当前标尺的刻度上.           按住Alt ...

  10. OS X open finder here in terminal

    just type open .