【转帖】隐藏DLL模块( HideDll) - VC++和C# - 紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛 - Powered by Discuz! Archiver

论坛广场 › VC++和C# › 【转帖】隐藏DLL模块( HideDll)

阿杰发表于 2009-8-23 14:05:37

【转帖】隐藏DLL模块( HideDll)

<p><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #0000ff">原帖:<font face="Verdana">http://hi.baidu.com/zoo_/blog/item/4b695c8737e7862fc75cc33c.html</font></font></p>
<p><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #0000ff">void </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">HideDll</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">()<br/>{<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">HMODULE hMod </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">= ::</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">GetModuleHandle</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">(</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #808080">"MyHook.dll"</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">); <br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">PLIST_ENTRY Head</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">,</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Cur</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">PPEB_LDR_DATA ldr</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">PLDR_MODULE ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">__asm<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">{<br/>        </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">mov eax </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">, </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">fs</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">:[</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #800080">0x30</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">]<br/>        </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">mov ecx </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">, [</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">eax </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">+ </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #800080">0x0c</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">] </font><font style="FONT: 10pt="10pt"Comic="Comic"Sans="Sans"MS; COLOR: #008000">//Ldr<br/>        </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">mov ldr </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">, </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ecx<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">}<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Head </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">= &(</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldr</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InLoadOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">);<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Cur </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">= </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Head</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #0000ff">do<br/>    </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">{<br/>        </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">= </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">CONTAINING_RECORD</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">( </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Cur</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">, </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">LDR_MODULE</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">, </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InLoadOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">);<br/>        </font><font style="FONT: 10pt="10pt"Comic="Comic"Sans="Sans"MS; COLOR: #008000">//printf("EntryPoint \n",ldm->BaseAddress);<br/>        </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #0000ff">if</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">( </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">hMod </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">== </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">BaseAddress</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">)<br/>         {<br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InLoadOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">=<br/>                </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InLoadOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InLoadOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">=<br/>                </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InLoadOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">; <br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InInitializationOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">=<br/>                </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InInitializationOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InInitializationOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">=<br/>                </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InInitializationOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;  <br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InMemoryOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">=<br/>                </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InMemoryOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InMemoryOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">=<br/>                </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">ldm</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">InMemoryOrderModuleList</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">.</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Blink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;  <br/>            </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #0000ff">break</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">;<br/>         }<br/>        </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Cur</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">= </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Cur</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">-></font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Flink</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">; <br/>     }</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #0000ff">while</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">(</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Head </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">!= </font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000000">Cur</font><font style="FONT: 10pt="10pt"Fixedsys; COLOR: #000080">);<br/>}</font> </p>

SilenceNet 发表于 2010-1-22 14:07:36

{:2_29:} 可以隐藏么。。一会试试...

jiedengye 发表于 2010-5-17 09:23:56

修改PEB 隐藏不错

9908006 发表于 2010-5-17 12:51:43

强度还是低了点，在ring0下更逼真

乔丹二世 发表于 2010-5-23 20:46:59

不错，下来看看。

a2010xxb 发表于 2010-9-20 11:55:43

挺简洁的～！不过已经过时了

页: [1]

查看完整版本: 【转帖】隐藏DLL模块( HideDll)