先来推广一下QQ群:61618925。欢迎各位爱好编程的加入。

在外挂或者病毒中,经常需要隐藏掉自己注入的DLL,以免被发现。下面就是一个隐藏DLL的通用模块,用的时候只需要加入到相关模块中即可。

详细代码如下:

#include <iostream>

using namespace std;

void HideModule(char *szModule)

{

    DWORD *PEB = NULL;

    DWORD *Ldr = NULL;

    DWORD *Flink = NULL;

    DWORD *p = NULL;

    DWORD *BaseAddress = NULL;

    DWORD *FullDllName = NULL;

    //定位PEB

    __asm

    {

        //fs位置保存着teb

        //fs:[0x30]位置保存着peb

        mov eax,fs:[0x30]

        mov PEB,eax

    }

    HMODULE hMod = GetModuleHandleA(szModule);

    //得到LDR

    Ldr = *((DWORD **)((unsigned char *)PEB + 0x0c));

    //第二条链表

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x0c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x18));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x28));

        if ((DWORD*)hMod == BaseAddress)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x14));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x10));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x20));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x1c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x8));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x18));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

}

int main(int argc, char **argv)

{

    HideModule("kernel32.dll");

    HideModule("ntdll.dll");

    HideModule("MSVCR90.dll");

    HideModule("KERNELBASE.dll");

    getchar();

    return ;

}

用我之前博客中的进程管理器查看本进程的DLL,可以发现找不到相应的DLL。

隐藏DLL的更多相关文章

  1. 如何隐藏DLL中,导出函数的名称?(转)

    如何隐藏DLL中,导出函数的名称?(转)   一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: L ...

  2. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  3. 如何隐藏DLL中,导出函数的名称?

    一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: LIBRARY EXPORTS HideFunc ...

  4. 钩子注入呼出与隐藏DLL窗口

    / MFC_DLL.cpp : 定义 DLL 的初始化例程. // #include "stdafx.h" #include "MFC_DLL.h" #incl ...

  5. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  6. 隐藏进程中的模块绕过IceSword的检测

    标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...

  7. dll导出函数的两种方式的比较

    最初的网页链接已经挂了, 在此贴一个中间的转载链接 https://blog.csdn.net/zhazhiqiang/article/details/51577523 一 概要 vs中导出 dll的 ...

  8. 反编译工具 使用.NET JustDecompile来反编译你的程序代码

    原文地址:http://www.it165.net/pro/html/201310/7383.html 前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序 ...

  9. 使用.NET JustDecompile来反编译你的程序代码

    前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序,由于因为是别人写的所以我们并没有原始码可以直接阅读,碰到这种情况我们就需要去反编译这些程序及 DLL ...

随机推荐

  1. 使用maven下载依赖包及maven常见问题汇总

    最近下载了SPRING3.1.4,发现只有SPRING相关的源码,没有其依赖的jar包.SPRING依赖的jar相当多,自己一个一个的下载比较费劲,就仔细阅读了SPRING下载说明,新版本的SPRIN ...

  2. 中文unicode范围及unicode编解码

    中文unicode范围 : [\u4e00-\u9fa5] 普通字符串可以用多种方式编码成Unicode字符串,具体要看你究竟选择了哪种编码:unicodestring = u"Hello ...

  3. iPhone播放音乐

    来源:http://blog.csdn.net/htttw/article/details/7842295 iPhone播放音乐 今天我们简要介绍如何在iPhone中播放音乐: 强烈建议你参考官方文档 ...

  4. tomcat7 内存溢出 java.lang.OutOfMemoryError: Java heap space

    在{tomcat7_home}bin/catalina.sh最上面添加: JAVA_OPTS="-server -Xms800m -Xmx800m -XX:PermSize=128M -XX ...

  5. QT学习之路---信号槽

    #include<QApplication> #include<QPushButton> int main(int argc,char *argv[]) { QApplicat ...

  6. jsp标准标签库

    抄袭自:http://www.cnblogs.com/hongten/archive/2011/05/14/2046005.html JSP标准标签库     Pass by xkk ,and aut ...

  7. Dubbo中对Spring配置标签扩展

    Spring提供了可扩展Schema的支持,完成一个自定义配置一般需要以下步骤: 设计配置属性和JavaBean 编写XSD文件 编写NamespaceHandler和BeanDefinitionPa ...

  8. nyoj 88 汉诺塔(一)

    点击打开链接 汉诺塔(一) 时间限制:1000 ms  |  内存限制:65535 KB 难度:3 描述 在印度,有这么一个古老的传说:在世界中心贝拿勒斯(在印度北部)的圣庙里,一块黄铜板上插着三根宝 ...

  9. (easy)LeetCode 226.Invert Binary Tree

    Invert a binary tree. 4 / \ 2 7 / \ / \ 1 3 6 9 to 4 / \ 7 2 / \ / \ 9 6 3 1 Trivia:This problem was ...

  10. bitmap size exceeds VM budget

    bitmap size exceeds VM budget we can avoid this error by the following parts:1  its not how much ima ...