清淡小女子 发表于 2013-2-7 09:04:34

再谈隐藏进程中的DLL模块(有码)

作者:achillis

相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧。
先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLibrary以正常方式加载的DLL。

这个很简单,看雪上NetRoc有一篇关于这个的文章,从分析原理到编程实现,虽然技术不算高深,但是思路非常精彩。来复习一下吧~~

这里看到有三个链表,其实三个链表的内容是一样的,但是链表的顺序不一样,分别按加载顺序、内存顺序、初始化顺序排列
也就是说每一个DLL由一个LDR_DATA_TABLE_ENTRY结构描述,但是第一个结构被链入了三个链表。取一个来看看:

**** Hidden Message *****

三少 发表于 2013-2-8 08:51:22

顶顶顶顶顶顶顶顶顶

a553620369 发表于 2013-2-9 17:55:43

看看有嘿嘿哈哈哈

wen526642 发表于 2013-2-9 18:41:05

.......................................

工藤新一 发表于 2013-2-9 18:49:56

想不到啊想不到啊.....

jable 发表于 2013-2-21 13:59:02

进来看阿奎那。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

brucexlee 发表于 2013-2-26 17:45:56

请问有源代码吗?

zylyy12358 发表于 2013-4-10 19:23:21

aaaaaaaaaaaaaaaaa

qeeqeeeq 发表于 2013-4-15 20:35:18

超级给力的

wuge910310 发表于 2013-7-25 09:30:10

挖大王的大王低洼伟大
页: [1] 2 3 4 5 6 7
查看完整版本: 再谈隐藏进程中的DLL模块(有码)