先来推广一下QQ群:61618925。欢迎各位爱好编程的加入。

在外挂或者病毒中,经常需要隐藏掉自己注入的DLL,以免被发现。下面就是一个隐藏DLL的通用模块,用的时候只需要加入到相关模块中即可。

详细代码如下:

#include <iostream>

using namespace std;

void HideModule(char *szModule)

{

    DWORD *PEB = NULL;

    DWORD *Ldr = NULL;

    DWORD *Flink = NULL;

    DWORD *p = NULL;

    DWORD *BaseAddress = NULL;

    DWORD *FullDllName = NULL;

    //定位PEB

    __asm

    {

        //fs位置保存着teb

        //fs:[0x30]位置保存着peb

        mov eax,fs:[0x30]

        mov PEB,eax

    }

    HMODULE hMod = GetModuleHandleA(szModule);

    //得到LDR

    Ldr = *((DWORD **)((unsigned char *)PEB + 0x0c));

    //第二条链表

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x0c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x18));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x28));

        if ((DWORD*)hMod == BaseAddress)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x14));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x10));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x20));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

    Flink = *((DWORD **)((unsigned char *)Ldr + 0x1c));

    p = Flink;

    do

    {

        BaseAddress = *((DWORD **)((unsigned char *)p + 0x8));

        FullDllName = *((DWORD **)((unsigned char *)p + 0x18));

        if (BaseAddress == (DWORD *)hMod)

        {

            **((DWORD **)(p + )) = (DWORD)*((DWORD **)p);

            *(*((DWORD **)p) + ) = (DWORD)*((DWORD **)(p + ));

            break;

        }

        p = *((DWORD **)p);

    } while (Flink != p);

}

int main(int argc, char **argv)

{

    HideModule("kernel32.dll");

    HideModule("ntdll.dll");

    HideModule("MSVCR90.dll");

    HideModule("KERNELBASE.dll");

    getchar();

    return ;

}

用我之前博客中的进程管理器查看本进程的DLL,可以发现找不到相应的DLL。

隐藏DLL的更多相关文章

  1. 如何隐藏DLL中,导出函数的名称?(转)

    如何隐藏DLL中,导出函数的名称?(转)   一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: L ...

  2. Win32之隐藏DLL隐藏模块技术

    Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API反汇编勾引兴趣 我们都用过Windows的进程跟线程API  ...

  3. 如何隐藏DLL中,导出函数的名称?

    一.引言 很多时候,我们写了一个Dll,不希望别人通过DLL查看工具,看到我们的导出函数名称.可以通过以下步骤实现: 1. 在def函数中做如下定义: LIBRARY EXPORTS HideFunc ...

  4. 钩子注入呼出与隐藏DLL窗口

    / MFC_DLL.cpp : 定义 DLL 的初始化例程. // #include "stdafx.h" #include "MFC_DLL.h" #incl ...

  5. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  6. 隐藏进程中的模块绕过IceSword的检测

    标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...

  7. dll导出函数的两种方式的比较

    最初的网页链接已经挂了, 在此贴一个中间的转载链接 https://blog.csdn.net/zhazhiqiang/article/details/51577523 一 概要 vs中导出 dll的 ...

  8. 反编译工具 使用.NET JustDecompile来反编译你的程序代码

    原文地址:http://www.it165.net/pro/html/201310/7383.html 前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序 ...

  9. 使用.NET JustDecompile来反编译你的程序代码

    前言 在项目的进行中有时会碰到需要去了解由第三方所开发的程序代码或者因为年久已经遗失原始码的程序,由于因为是别人写的所以我们并没有原始码可以直接阅读,碰到这种情况我们就需要去反编译这些程序及 DLL ...

随机推荐

  1. Rstudio匹配中文

    之前在操作csv文件时一般是将中文字符在excel或用Perl将其中的中文转换成对应的英文,但是最近碰到不得不在R里面进行中文符操作,发现R里面的匹配是无法识别的中文符的.比如: df <- r ...

  2. 【Python】迭代器、生成器、yield单线程异步并发实现详解

    转自http://blog.itpub.net/29018063/viewspace-2079767 大家在学习python开发时可能经常对迭代器.生成器.yield关键字用法有所疑惑,在这篇文章将从 ...

  3. Oracle Cluster Registry Location to be Added is not Accessible

    APPLIES TO: Oracle Server - Enterprise Edition - Version 11.2.0.1 and laterInformation in this docum ...

  4. linux spi驱动开发学习-----spidev.c和spi test app

    一.spidev.c文件 看一个设备驱动的方法: module_init标识的入口初始化函数spidev_init,(module_exit标识的出口函数) 设备与设备驱动匹配时候调用的probe方法 ...

  5. WEB 安全之 SQL注入 < 二 > 暴库

    SQL注入是一个比较"古老"的话题,虽然现在存在这种漏洞的站点比较少了,我们还是有必要了解一下它的危害,及其常用的手段,知己知彼方能百战不殆.进攻与防守相当于矛和盾的关系,我们如果 ...

  6. 如何在使用 RemoteWebDriver 打开网页的同时获取 Http 状态码

    最近一直在用Selenium这个开源项目写一些web 自动化的小玩意.本来一直运行的挺好,直到有一天突然发现资源抓取失败了,翻看日志才发现,原来本该正常打开的页面返回了504错误所以自然失败了.如何避 ...

  7. Flash Air 打包安卓 ane

    工具: 1.flash builder 2.adt打包工具 3.数字证书 一. 创建 jar 文件 1. 打开flash builder, 新建一个java 项目. 2.点击项目属性,选择Java构建 ...

  8. FlashBuilder的快捷键

    Ctrl-F11: 执行(Run) F11: 除错(Debug) Ctrl-Alt-Down: 重复目前所在编辑列(Repeat current line ) Alt-Up: 移动本列,或选择列往上移 ...

  9. Quick Sort(快排)

    这是挖坑填补法的演示 快排之挖坑填补法: void Quick(int top/*起始位置*/,int end/*末尾位置*/,int arr[])//挖坑填补法 { int i=top,j=end, ...

  10. EF调用存储过程遇到的问题

    注意 实体类Statistics的字段名和存储过程返回集合的列名要相同才行