一、模块隐藏的实现原理

  普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。

  模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。

二、结构体成员详细介绍

<1> TEB结构体 -- 内存地址为 fs:[0] 处。

使用Windbg的 "dt _TEB"命令来查看TEB结构体

kd> dt _TEB
ntdll!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB
   +0x034 LastErrorValue   : Uint4B

1. 属性介绍 

  1.1)_NT_TIB:重点两个属性,栈顶与栈大小。

   http://www.nirsoft.net/kernel_struct/vista/NT_TIB.html

  1.2) _CLIENT_ID: 存储该进程ID与当前主线程ID。

  https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-tsts/a11e7129-685b-4535-8d37-21d4596ac057?redirectedfrom=MSDN

  1.3) _PEB:进程环境块 ,记住其在 TEB 偏移 0x30处即可。

2. 通过olldbg查看该结构体

  2.1) 打开任意进程,在寄存器窗口找到 fs:[0],查看其内存地址。

    

  2.2) 在内存窗口使用命令 "db 5E7000" 跳转到该内存,使用地址格式(长型-地址)显示。

    

<2>  PEB结构体 -- fs:[0x30]

使用 Windbg 指令 dt _PEB 查看 PEB结构体,重点关注最后一个 进程加载信息表。

kd> dt _PEB
ntdll!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 BitField         : UChar
   +0x003 ImageUsesLargePages : Pos 0, 1 Bit
   +0x003 IsProtectedProcess : Pos 1, 1 Bit
   +0x003 IsLegacyProcess  : Pos 2, 1 Bit
   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit
   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit
   +0x003 SpareBits        : Pos 5, 3 Bits
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA // PEB_LOADER_DATA 进程加载信息表

1. 查看 _PEB_LDR_DATA 进程加载信息表 的结构体

  1.1)重点关注 0x00c处的指针,其指向 _PEB_LDR_DATA 这个结构体,在这个结构体中 0x00c、0x014、0x01c 分别表示 模块加载顺序 / 加载后在内存中的顺序 / 模块初始化的顺序。

        kd > dt _PEB_LDR_DATA
        ntdll!_PEB_LDR_DATA
        + 0x000 Length           : Uint4B
        + 0x004 Initialized : UChar
        + 0x008 SsHandle : Ptr32 Void
        + 0x00c InLoadOrderModuleList : _LIST_ENTRY  // 模块加载顺序
        + 0x014 InMemoryOrderModuleList : _LIST_ENTRY // 加载后在内存中的顺序
        + 0x01c InInitializationOrderModuleList : _LIST_ENTRY // 模块初始化的顺序
        + 0x024 EntryInProgress : Ptr32 Void
        + 0x028 ShutdownInProgress : UChar
        + 0x02c ShutdownThreadId : Ptr32 Void

  2.2)理解其三个成员的顺序,其指向_LDR_DATA_TABLE_ENTRY元素中开始的三个成员,而 _LDR_DATA_TABLE_ENTRY 中存储着就是关于有关模块信息的元素(比如模块名等)

        kd > dt _LDR_DATA_TABLE_ENTRY
        ntdll!_LDR_DATA_TABLE_ENTRY
        + 0x000 InLoadOrderLinks : _LIST_ENTRY   
        + 0x008 InMemoryOrderLinks : _LIST_ENTRY
        + 0x010 InInitializationOrderLinks : _LIST_ENTRY
        + 0x018 DllBase : Ptr32 Void  // 模块基地址
        + 0x01c EntryPoint : Ptr32 Void  // 入口函数(对于 exe 模块有效)
        + 0x020 SizeOfImage : Uint4B  // 模块大小
        + 0x024 FullDllName : _UNICODE_STRING  // 完成模块名称(带路径)
        + 0x02c BaseDllName : _UNICODE_STRING // 模块名称
        + 0x034 Flags : Uint4B

2. 使用olldbg来查看查找首先加载模块的模块名称(TEB->PEB-> InLoadOrderModuleList -> BaseDllName)

  2.1)接之前TEB内容查找到PEB的所在位置 fs:[0x30]。

  2.2)  在其0x00c处发现InLoadOrderModuleList成员,其指向的是一个_LDR_DATA_TABLE_ENTRY 结构体。

    

  2.3)  跳转到 _LDR_DATA_TABLE_ENTRY 结构体,从0x0c开始依次是三个 _LIST_ENTRY 结构体,该结构体双向链表存储着两个地址。

    

  2.4)选中第一个进入,在其偏移0x02c处(UNICODE结构体占四字),可以查看字符串名称。

    

  2.5)通过开头 _LIST_ENTRY结构体可以遍历前一个模块的内容和下一个模块的内容。

    

三、利用C++断链来实现模块隐藏

  如果你看懂上面分析,则源代码非常好理解。

 // 隐藏模块.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。

 //

 #include "pch.h"

 #include <iostream>

 #include <Windows.h>

 /* 所需要的结构体

 1. _LDR_DATA_TABLE_ENTRY 链表指向数据

 2. _PEB_LDR_DATA 表示其 PEB0x处指向的数据表

 3. _LIST_ENTRY 指针指向的链表

 */

 typedef struct _LSA_UNICODE_STRING {

     USHORT Length;

     USHORT MaximumLength;

     PWSTR  Buffer;

 }

 UNICODE_STRING, *PUNICODE_STRING;

 typedef struct _PEB_LDR_DATA

 {

     DWORD Length; // +0x00

     bool Initialized; // +0x04

     PVOID SsHandle; // +0x08

     LIST_ENTRY InLoadOrderModuleList; // +0x0c

     LIST_ENTRY InMemoryOrderModuleList; // +0x14

     LIST_ENTRY InInitializationOrderModuleList;// +0x1c

 } PEB_LDR_DATA, *PPEB_LDR_DATA; // +0x24

 typedef struct _LDR_MODULE

 {

     LIST_ENTRY          InLoadOrderModuleList;

     LIST_ENTRY          InMemoryOrderModuleList;

     LIST_ENTRY          InInitializationOrderModuleList;

     void*               BaseAddress;

     void*               EntryPoint;

     ULONG               SizeOfImage;

     UNICODE_STRING   FullDllName;

     UNICODE_STRING      BaseDllName;

     ULONG               Flags;

     SHORT               LoadCount;

     SHORT               TlsIndex;

     HANDLE              SectionHandle;

     ULONG               CheckSum;

     ULONG               TimeDateStamp;

 } LDR_MODULE, *PLDR_MODULE;

 //所谓模块句柄,即该模块的入口地址

 void hide_module(char* szDllName)

 {

     HMODULE hMod = GetModuleHandleA(szDllName);

     PLIST_ENTRY Head, Cur;

     PPEB_LDR_DATA ldr;

     PLDR_MODULE ldm;

     __asm

     {

         mov eax, fs:[0x30]

         mov ecx, [eax + 0x0c] //Ldr

         mov ldr, ecx

     }

     Head = &(ldr->InLoadOrderModuleList);

     Cur = Head->Flink;

     do

     {

         ldm = CONTAINING_RECORD(Cur, LDR_MODULE, InLoadOrderModuleList);

         if (hMod == ldm->BaseAddress)

         {

             // 三个链表同时给断掉

             ldm->InLoadOrderModuleList.Blink->Flink =

                 ldm->InLoadOrderModuleList.Flink;

             ldm->InLoadOrderModuleList.Flink->Blink =

                 ldm->InLoadOrderModuleList.Blink;

             //

             ldm->InInitializationOrderModuleList.Blink->Flink =

                 ldm->InInitializationOrderModuleList.Flink;

             ldm->InInitializationOrderModuleList.Flink->Blink =

                 ldm->InInitializationOrderModuleList.Blink;

             //

             ldm->InMemoryOrderModuleList.Blink->Flink =

                 ldm->InMemoryOrderModuleList.Flink;

             ldm->InMemoryOrderModuleList.Flink->Blink =

                 ldm->InMemoryOrderModuleList.Blink;

             break;

         }

         Cur = Cur->Flink;

     } while (Head != Cur);

 }

 int main()

 {

     // 通过模块名,来获取模块句柄

     printf("****按任意键隐藏模块*****");

     getchar();

     hide_module((char*)"kernel32.dll");

     printf("****隐藏模块完成*****");

     getchar();

     getchar();

 }

利用C++实现模块隐藏(R3层断链)的更多相关文章

  1. 【旧文章搬运】修改PEB,断链隐藏模块成功

    原文发表于百度空间,2008-7-26========================================================================== 继续实践之前 ...

  2. phalcon:官方多模块支models层,mode数据库配置(二)

    phalcon:官方多模块支models层,mode数据库配置(二) 利用:\pahlcon\mvc\model\Manager::registerNamespaceAlias()方法获取多模块下的m ...

  3. 微信小程序弹出和隐藏遮罩层动画以及五星评分

    参考源码: http://www.see-source.com/weixinwidget/detail.html?wid=82 https://blog.csdn.net/pcaxb/article/ ...

  4. phalcon:官方多模块支models层,mode数据库配置

    phalcon:官方多模块支models层,mode数据库配置 按: backend分后台, frondend 分前台 每个多模块下面都有一个 Module.php文件, 1. frondend/mo ...

  5. jquery实现隐藏显示层动画效果、仿新浪字符动态输入、tab效果

    已经有两年多没登陆csdn账号了,中间做了些旁的事,可是现在却还是回归程序,但改做前端了,虽然很多东西都已忘得差不多了,但还是应该摆正心态,慢慢来,在前端漫游,做一只快乐双鱼. 路是一步一步走出来的, ...

  6. Java工程师高薪训练营-第一阶段 开源框架源码解析-模块一 持久层框架涉及实现及MyBatis源码分析-任务一:自定义持久层框架

    目录 任务一:自定义持久层框架 1.1 JDBC回顾及问题分析 1.2 自定义持久层框架思路分析 1.3 IPersistence_Test编写 1.3.1 XXXMapper.xml详解 1.3.2 ...

  7. 【笔记】拉勾Java工程师高薪训练营-第一阶段 开源框架源码解析-模块一 持久层框架涉及实现及MyBatis源码分析-任务一:自定义持久层框架

    以下笔记是我看完视频之后总结整理的,部分较为基础的知识点也做了补充,如有问题欢迎沟通. 目录 任务一:自定义持久层框架 1.1 JDBC回顾及问题分析 1.2 自定义持久层框架思路分析 1.3 IPe ...

  8. 利用pip安装模块(以安装pyperclip为例)

    >任务:利用pip安装pyperclip模块 >前提:你已经在你的电脑里面安装啦Python2.7的Windows版本,并且已经配置了环境变量 >实现步骤 >>打开你的P ...

  9. 手把手教你写LKM rookit! 之 第一个lkm程序及模块隐藏(一)

    唉,一开始在纠结起个什么名字,感觉名字常常的很装逼,于是起了个这<手把手教你写LKM rookit> 我觉得: 你们觉得:...... 开始之前,我们先来理解一句话:一切的操作都是系统调用 ...

随机推荐

  1. Codeforces Round #381 (Div. 2) C. Alyona and mex(无语)

    题目链接 http://codeforces.com/contest/740/problem/C 题意:有一串数字,给你m个区间求每一个区间内不含有的最小的数,输出全部中最小的那个尽量使得这个最小值最 ...

  2. 3. Sentinel源码分析— QPS流量控制是如何实现的?

    Sentinel源码解析系列: 1.Sentinel源码分析-FlowRuleManager加载规则做了什么? 2. Sentinel源码分析-Sentinel是如何进行流量统计的? 上回我们用基于并 ...

  3. 三个小白是如何在三个月内搭一个基于kaldi的嵌入式在线语音识别系统的

    前面的博客里说过最近几个月我从传统语音(语音通信)切到了智能语音(语音识别).刚开始是学语音识别领域的基础知识,学了后把自己学到的写了PPT给组内同学做了presentation(语音识别传统方法(G ...

  4. 用户上传gif动图分解成多张帧图片,并合并生成新gif图片

    背景 为什么要制作这么一款工具 首先公司最近在做一款表情包的产品,需要将文字生成到gif图片中,并可以控制文字显示的位置,并将不同的文字显示在不同的图片上 制作成网页端工具,随时随地,方便使用 探索 ...

  5. Java内部类的使用小结 形参为什么要用final

    部类是指在一个外部类的内部再定义一个类.类名不需要和文件夹相同. *内部类可以是静态static的,也可用public,default,protected和private修饰.(而外部顶级类即类名和文 ...

  6. 详解JAVA字符串类型switch的底层原理

    基础 我们现在使用的Java的版本,基本上是都支持String类型的.当然除了String类型,还有int.char.byte.short.enum等等也都是支持的.然而在其底部实现中,还是基于 整型 ...

  7. 5分钟理解 SpringBoot 响应式的核心-Reactor

    目录 一.前言 二. Mono 与 Flux 构造器 三. 流计算 1. 缓冲 2. 过滤/提取 3. 转换 4. 合并 5. 合流 6. 累积 四.异常处理 五.线程调度 小结 参考阅读 一.前言 ...

  8. Apache JMeter (一)环境的配置和操作

    JMeter是Apache组织的开放源代码项目,是一款优秀的开源测试工具,可以做功能测试和性能测试.是每个资深的测试工程师必须掌握的测试工具,熟悉JMeter可以大大提高工作效率. 1.下载Jmete ...

  9. Appium+python自动化(三十七)- 士兵突击许三多 - 多个appium服务启动,多个设备启动,多进程并发启动设备-并发测试 - 下(超详解)

    简介 接着上一篇继续看一下如何并发测试以及并发测试的过程中,可能遇到的问题,在这里宏哥把宏哥遇到的和小伙伴或者童鞋们,一起分享一下. Appium端口检测 问题思考 经过前面学习,我们已经能够使用py ...

  10. Slickflow.NET 开源工作流引擎快速入门之三: 简单或分支流程代码编写示例

    前言:对于急切想了解引擎功能的开发人员,在下载版本后,就想尝试编写代码,完成一个流程的开发和测试.本文试图从请假流程,或分支模式来快速了解引擎代码的编写. 1. 创建或分支流程图形 或分支流程是常见的 ...