再谈隐藏进程中的DLL模块(有码)

清淡小女子 · 发表于 2013-2-7 09:04:34

作者：achillis

相当老的话题，大约一年前就写过这个东西了，不过那时候知识比较有限，也不了解内核，因此实现得很粗浅，现在再写一下，权当是对这个老问题的总结吧。
先谈谈正规DLL的隐藏方法，这里说的正规DLL，是指用LoadLibrary以正常方式加载的DLL。

这个很简单，看雪上NetRoc有一篇关于这个的文章，从分析原理到编程实现，虽然技术不算高深，但是思路非常精彩。来复习一下吧~~

这里看到有三个链表，其实三个链表的内容是一样的，但是链表的顺序不一样，分别按加载顺序、内存顺序、初始化顺序排列
也就是说每一个DLL由一个LDR_DATA_TABLE_ENTRY结构描述，但是第一个结构被链入了三个链表。取一个来看看：

游客，如果您要查看本帖隐藏内容请回复

三少 · 发表于 2013-2-8 08:51:22

顶顶顶顶顶顶顶顶顶

a553620369 · 发表于 2013-2-9 17:55:43

看看有嘿嘿哈哈哈

wen526642 · 发表于 2013-2-9 18:41:05

.......................................

工藤新一 · 发表于 2013-2-9 18:49:56

想不到啊想不到啊.....

jable · 发表于 2013-2-21 13:59:02

进来看阿奎那。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

brucexlee · 发表于 2013-2-26 17:45:56

请问有源代码吗？

zylyy12358 · 发表于 2013-4-10 19:23:21

aaaaaaaaaaaaaaaaa

qeeqeeeq · 发表于 2013-4-15 20:35:18

超级给力的

wuge910310 · 发表于 2013-7-25 09:30:10

挖大王的大王低洼伟大

		自动登录	找回密码
密码			注册账号