利用C++ R3层断链实现模块隐藏功能

一、模块隐藏的实现原理

  普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。

  模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。

二、结构体成员详细介绍

<1> TEB结构体 -- 内存地址为 fs:[0] 处。

使用Windbg的 "dt _TEB"命令来查看TEB结构体

kd> dt _TEB
ntdll!_TEB
 +0x000 NtTib : _NT_TIB
 +0x01c EnvironmentPointer : Ptr32 Void
 +0x020 ClientId : _CLIENT_ID
 +0x028 ActiveRpcHandle : Ptr32 Void
 +0x02c ThreadLocalStoragePointer : Ptr32 Void
 +0x030 ProcessEnvironmentBlock : Ptr32 _PEB
 +0x034 LastErrorValue : Uint4B

1. 属性介绍 

  1.1)_NT_TIB:重点两个属性,栈顶与栈大小。

   http://www.nirsoft.net/kernel_struct/vista/NT_TIB.html

  1.2) _CLIENT_ID: 存储该进程ID与当前主线程ID。

  https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-tsts/a11e7129-685b-4535-8d37-21d4596ac057?redirectedfrom=MSDN

  1.3) _PEB:进程环境块 ,记住其在 TEB 偏移 0x30处即可。

2. 通过olldbg查看该结构体

  2.1) 打开任意进程,在寄存器窗口找到 fs:[0],查看其内存地址。

    

  2.2) 在内存窗口使用命令 "db 5E7000" 跳转到该内存,使用地址格式(长型-地址)显示。

    

<2> PEB结构体 -- fs:[0x30]

使用 Windbg 指令 dt _PEB 查看 PEB结构体,重点关注最后一个 进程加载信息表。

kd> dt _PEB
ntdll!_PEB
 +0x000 InheritedAddressSpace : UChar
 +0x001 ReadImageFileExecOptions : UChar
 +0x002 BeingDebugged : UChar
 +0x003 BitField : UChar
 +0x003 ImageUsesLargePages : Pos 0, 1 Bit
 +0x003 IsProtectedProcess : Pos 1, 1 Bit
 +0x003 IsLegacyProcess : Pos 2, 1 Bit
 +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit
 +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit
 +0x003 SpareBits : Pos 5, 3 Bits
 +0x004 Mutant : Ptr32 Void
 +0x008 ImageBaseAddress : Ptr32 Void
 +0x00c Ldr : Ptr32 _PEB_LDR_DATA // PEB_LOADER_DATA 进程加载信息表

1. 查看 _PEB_LDR_DATA 进程加载信息表 的结构体

  1.1)重点关注 0x00c处的指针,其指向 _PEB_LDR_DATA 这个结构体,在这个结构体中 0x00c、0x014、0x01c 分别表示 模块加载顺序 / 加载后在内存中的顺序 / 模块初始化的顺序。

kd > dt _PEB_LDR_DATA
 ntdll!_PEB_LDR_DATA
 + 0x000 Length : Uint4B
 + 0x004 Initialized : UChar
 + 0x008 SsHandle : Ptr32 Void
 + 0x00c InLoadOrderModuleList : _LIST_ENTRY // 模块加载顺序
 + 0x014 InMemoryOrderModuleList : _LIST_ENTRY // 加载后在内存中的顺序
 + 0x01c InInitializationOrderModuleList : _LIST_ENTRY // 模块初始化的顺序
 + 0x024 EntryInProgress : Ptr32 Void
 + 0x028 ShutdownInProgress : UChar
 + 0x02c ShutdownThreadId : Ptr32 Void

  2.2)理解其三个成员的顺序,其指向_LDR_DATA_TABLE_ENTRY元素中开始的三个成员,而 _LDR_DATA_TABLE_ENTRY 中存储着就是关于有关模块信息的元素(比如模块名等)

 kd > dt _LDR_DATA_TABLE_ENTRY
 ntdll!_LDR_DATA_TABLE_ENTRY
 + 0x000 InLoadOrderLinks : _LIST_ENTRY   
 + 0x008 InMemoryOrderLinks : _LIST_ENTRY
 + 0x010 InInitializationOrderLinks : _LIST_ENTRY
 + 0x018 DllBase : Ptr32 Void  // 模块基地址
 + 0x01c EntryPoint : Ptr32 Void  // 入口函数(对于 exe 模块有效)
 + 0x020 SizeOfImage : Uint4B  // 模块大小
 + 0x024 FullDllName : _UNICODE_STRING  // 完成模块名称(带路径)
 + 0x02c BaseDllName : _UNICODE_STRING // 模块名称
 + 0x034 Flags : Uint4B

2. 使用olldbg来查看查找首先加载模块的模块名称(TEB->PEB-> InLoadOrderModuleList -> BaseDllName)

  2.1)接之前TEB内容查找到PEB的所在位置 fs:[0x30]。

  2.2) 在其0x00c处发现InLoadOrderModuleList成员,其指向的是一个_LDR_DATA_TABLE_ENTRY 结构体。

    

  2.3) 跳转到 _LDR_DATA_TABLE_ENTRY 结构体,从0x0c开始依次是三个 _LIST_ENTRY 结构体,该结构体双向链表存储着两个地址。

    

  2.4)选中第一个进入,在其偏移0x02c处(UNICODE结构体占四字),可以查看字符串名称。

    

  2.5)通过开头 _LIST_ENTRY结构体可以遍历前一个模块的内容和下一个模块的内容。

    

三、利用C++断链来实现模块隐藏

  如果你看懂上面分析,则源代码非常好理解。

// 隐藏模块.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include <iostream>
#include <Windows.h>
/* 所需要的结构体
1. _LDR_DATA_TABLE_ENTRY 链表指向数据
2. _PEB_LDR_DATA 表示其 PEB0x处指向的数据表
3. _LIST_ENTRY 指针指向的链表
*/
typedef struct _LSA_UNICODE_STRING {
 USHORT Length;
 USHORT MaximumLength;
 PWSTR Buffer;
}
UNICODE_STRING, *PUNICODE_STRING;
typedef struct _PEB_LDR_DATA
{
 DWORD Length; // +0x00
 bool Initialized; // +0x04
 PVOID SsHandle; // +0x08
 LIST_ENTRY InLoadOrderModuleList; // +0x0c
 LIST_ENTRY InMemoryOrderModuleList; // +0x14
 LIST_ENTRY InInitializationOrderModuleList;// +0x1c
} PEB_LDR_DATA, *PPEB_LDR_DATA; // +0x24
typedef struct _LDR_MODULE
{
 LIST_ENTRY InLoadOrderModuleList;
 LIST_ENTRY InMemoryOrderModuleList;
 LIST_ENTRY InInitializationOrderModuleList;
 void* BaseAddress;
 void* EntryPoint;
 ULONG SizeOfImage;
 UNICODE_STRING FullDllName;
 UNICODE_STRING BaseDllName;
 ULONG Flags;
 SHORT LoadCount;
 SHORT TlsIndex;
 HANDLE SectionHandle;
 ULONG CheckSum;
 ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;
//所谓模块句柄,即该模块的入口地址
void hide_module(char* szDllName)
{
 HMODULE hMod = GetModuleHandleA(szDllName);
 PLIST_ENTRY Head, Cur;
 PPEB_LDR_DATA ldr;
 PLDR_MODULE ldm;
 __asm
 {
 mov eax, fs:[0x30]
 mov ecx, [eax + 0x0c] //Ldr
 mov ldr, ecx
 }
 Head = &(ldr->InLoadOrderModuleList);
 Cur = Head->Flink;
 do
 {
 ldm = CONTAINING_RECORD(Cur, LDR_MODULE, InLoadOrderModuleList);
 if (hMod == ldm->BaseAddress)
 {
 // 三个链表同时给断掉
 ldm->InLoadOrderModuleList.Blink->Flink =
 ldm->InLoadOrderModuleList.Flink;
 ldm->InLoadOrderModuleList.Flink->Blink =
 ldm->InLoadOrderModuleList.Blink;
 //
 ldm->InInitializationOrderModuleList.Blink->Flink =
 ldm->InInitializationOrderModuleList.Flink;
 ldm->InInitializationOrderModuleList.Flink->Blink =
 ldm->InInitializationOrderModuleList.Blink;
 //
 ldm->InMemoryOrderModuleList.Blink->Flink =
 ldm->InMemoryOrderModuleList.Flink;
 ldm->InMemoryOrderModuleList.Flink->Blink =
 ldm->InMemoryOrderModuleList.Blink;
 break;
 }
 Cur = Cur->Flink;
 } while (Head != Cur);
}
int main()
{
 // 通过模块名,来获取模块句柄
 printf("****按任意键隐藏模块*****");
 getchar();
 hide_module((char*)"kernel32.dll");
 printf("****隐藏模块完成*****");
 getchar();
 getchar();
}

总结

以上所述是小编给大家介绍的利用C++ R3层断链实现模块隐藏功能,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

(0)

相关推荐

  • 利用C++ R3层断链实现模块隐藏功能

    一.模块隐藏的实现原理 普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块. 模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到. 二.结构体成员详细介绍 <1> TEB结构体 -- 内存地址为 f

  • 利用Java代码实现区块链技术

    目录 不变性 块散列 Chain 链 添加事务 Merkle树 采矿工作证明 单元测试 最后的想法 前言: 比特币很热门——这是多么轻描淡写的说法啊.虽然加密货币的未来有些不确定,但用于驱动比特币的区块链技术也非常流行. 区块链的应用范围几乎无穷无尽.可以说,它还有可能破坏企业自动化. 本文将重点关注区块链体系结构,特别是演示“不可变.仅附加”分布式账本如何与简化的代码示例一起工作. 作为开发人员,与简单地阅读技术文章相比,在理解代码的工作原理时,从代码中看到东西要有用得多.至少对我来说是这样.

  • 使用php伪造referer的方法 利用referer防止图片盗链

    什么是HTTP Referer简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理.比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站.Referer其实应该是英文单词Referrer,不过拼错的人太多了,所以编写标准的人也就将错就错了.我的问题我刚刚把feed阅读器改变为Grega

  • C#判断网站是否能访问或者断链的方法

    本文实例讲述了C#判断网站是否能访问或者断链的方法.分享给大家供大家参考.具体如下: 最近有位朋友说他有很多网址,可能有些已经过期或者不能访问了.自己去一个一个点可以,但又很麻烦! 再过一段时间又要去检查一次,每次都这样就不方便了! 于是就做了个小程序给帮他检测一下. 以下做了一个例子作为参考: using System.Net; public bool CheckUrlVisit(string url) { try { HttpWebRequest req = (HttpWebRequest)

  • 利用 PyCharm 实现本地代码和远端的实时同步功能

    我们知道在国内使用 Docker,无论是 Pull.Build 还是 Push 镜像都十分慢,因为毕竟很多源都是国外的源,下载和上传慢是必然的现象. 最近我在写的项目都是用 Docker 运行起来的,在测试的时候,我可能需要先 Build 一下然后跑起来测试下逻辑有没有问题. 在我自己本地机器上构建就有这么几个问题,一个问题当然就是速度慢,我用的肯定是国内的上网线路,有时候用个新镜像,半天 Pull 不下来,而且有的镜像是一些私有镜像,不好弄加速器,有的公开镜像试了几个加速器效果也不理想.另外一

  • 利用JQuery实现datatables插件的增加和删除行功能

    在学习过程中遇到了这个利用JQuery对表格行的增加和删除,特记录下来以供初学者参考. 下面是主要的代码: <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <title>zengjia he shancu </title> <meta charset="utf-8" /> <script src=&quo

  • html+javascript+bootstrap实现层级多选框全层全选和多选功能

    想做一个先按层级排序并可以多选的功能,首先倾向于用多层标签式的,直接选定加在文本域里, 查到这文,非常详细,如果大家需要做前面所说的功能,可以参考这个地址,http://mrthink.net/jquery-plugin-iselecttags/ 但是,考虑到如果要做一个选项数不确定.可能非常多,用标签会容易视觉疲劳,同时要求随着选项数的变化,最小程度影响网页布局和效果,于是选择用层级的多选框,也就是设置电脑的那种常见效果.第二层选项可以折叠/展开到第一层下面,用bootstrap的 data-

  • Android开发之多线程中实现利用自定义控件绘制小球并完成小球自动下落功能实例

    本文实例讲述了Android开发之多线程中实现利用自定义控件绘制小球并完成小球自动下落功能的方法.分享给大家供大家参考,具体如下: 1.布局界面 <RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools" android:layout_width="match_pare

  • PHP中利用Telegram的接口实现免费的消息通知功能

    利用Telegram的接口,可以实现很方便的消息提醒,不用打开APP,不用科学联网,Telegram的通知就像短信提醒一样. 重点是,免费,无使用数量限制,不用担心短信内容审 查,你想发什么就发什么. 下面是利用php实现的发通知的代码: <?php $bot_api_key = 'CHANGE HERE'; function send_get($urlstring){ $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $urlstring); c

  • 利用Bootstrap Multiselect实现下拉框多选功能

    利用Bootstrap Multiselect实现下拉框多选功能,并在点击事件中获取到所有选中option的value值 首先展示项目案例: 多选下拉框功能实现.gif 下面是所有完整的代码,重点以及主要的解释已经在代码内进行注释: 引入的css.js文件需要从github中下载:https://github.com/davidstutz/bootstrap-multiselect 插件依赖jQ和bootstrap,所以在引入插件之前需要先引入这jQ和bootstrap的css和js文件. <!

随机推荐