易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
查看: 2397|回复: 34

再谈隐藏进程中的DLL模块(有码)

[复制链接]
发表于 2013-2-7 09:04:34 | 显示全部楼层 |阅读模式
作者:achillis

相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧。
先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLibrary以正常方式加载的DLL。

这个很简单,看雪上NetRoc有一篇关于这个的文章,从分析原理到编程实现,虽然技术不算高深,但是思路非常精彩。来复习一下吧~~

这里看到有三个链表,其实三个链表的内容是一样的,但是链表的顺序不一样,分别按加载顺序、内存顺序、初始化顺序排列
也就是说每一个DLL由一个LDR_DATA_TABLE_ENTRY结构描述,但是第一个结构被链入了三个链表。取一个来看看:

游客,如果您要查看本帖隐藏内容请回复
发表于 2013-2-8 08:51:22 | 显示全部楼层
顶顶顶顶顶顶顶顶顶
发表于 2013-2-9 17:55:43 | 显示全部楼层
看看有嘿嘿哈哈哈
发表于 2013-2-9 18:41:05 | 显示全部楼层
.......................................
发表于 2013-2-9 18:49:56 | 显示全部楼层
想不到啊想不到啊.....
发表于 2013-2-21 13:59:02 | 显示全部楼层
进来看阿奎那。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
发表于 2013-2-26 17:45:56 | 显示全部楼层
请问有源代码吗?
发表于 2013-4-10 19:23:21 | 显示全部楼层
aaaaaaaaaaaaaaaaa
发表于 2013-4-15 20:35:18 | 显示全部楼层
超级给力的
发表于 2013-7-25 09:30:10 | 显示全部楼层
挖大王的大王低洼伟大
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区  |网站地图

GMT+8, 2018-8-20 00:02 易语言论坛 易语言导航

Powered by 看流星社区 X3.2

©2011-2016 最好的辅助编程技术论坛

快速回复 返回顶部 返回列表