[Rootkit] 修改 peb 隐藏 dll(断链)

最新推荐文章于 2026-06-23 16:44:14 发布
原创 最新推荐文章于 2026-06-23 16:44:14 发布 · 1.2k 阅读 · 3
该文章介绍了如何在Windows系统中通过遍历PEB_LDR_DATA结构的InLoadOrderModuleList链表,找到指定DLL的基址并断开链表,以此来隐藏DLL。主要函数HideDll实现了这个过程,通过GetModuleHandle获取目标DLL基址,然后遍历LDR_MODULE结构体,比较BaseAddress来定位目标模块,并断开其在三个链表中的链接。

原理

PEB 中有一个成员 Ldr:

typedef struct _PEB
{
   
   
     UCHAR InheritedAddressSpace;
     UCHAR ReadImageFileExecOptions;
     UCHAR BeingDebugged;
     UCHAR BitField;
     ULONG ImageUsesLargePages: 1;
     ULONG IsProtectedProcess: 1;
     ULONG IsLegacyProcess: 1;
     ULONG IsImageDynamicallyRelocated: 1;
     ULONG SpareBits: 4;
     PVOID Mutant;
     PVOID ImageBaseAddress;
     PPEB_LDR_DATA Ldr;						// <----------
     PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
     PVOID SubSystemData;
     PVOID ProcessHeap;
     PRTL_CRITICAL_SECTION FastPebLock;
     PVOID AtlThunkSListPtr;
     PVOID IFEOKey;
     ULONG CrossProcessFlags;
     ULONG ProcessInJob: 1;
     ULONG ProcessInitializing: 1;
     ULONG ReservedBits0: 30;
     union
     {
   
   
          PVOID KernelCallbackTable;
          PVOID UserSharedInfoPtr;
     };
     ULONG SystemReserved[1];
     ULONG SpareUlong;
     PPEB_FREE_BLOCK FreeList;
     ULONG TlsExpansionCounter;
     PVOID TlsBitmap;
     ULONG TlsBitmapBits[2];
     PVOID ReadOnlySharedMemoryBase;
     PVOID HotpatchInformation;
     VOID * * ReadOnlyStaticServerData;
     PVOID AnsiCodePageData;
     PVOID OemCodePageData;
     PVOID UnicodeCaseTableData;
     ULONG NumberOfProcessors;
     ULONG NtGlobalFlag;
     LARGE_INTEGER CriticalSectionTimeout;
     ULONG HeapSegmentReserve;
     ULONG HeapSegmentCommit;
     ULONG HeapDeCommitTotalFreeThreshold;
     ULONG HeapDeCommitFreeBlockThreshold;
     ULONG NumberOfHeaps;
     ULONG MaximumNumberOfHeaps;
     VOID *
最低0.47元/天 解锁文章
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
内核 X64保护指定进程源码
DLLHiding:使用 PEB 隐藏 x32x64 ModulesDLL
05-31
DLL隐藏 使用 PEB 隐藏 x32/x64 模块 ##Summary 一个简单的命令行应用程序,用于在任何 Windows 进程中隐藏 DLL。 适用于 x32 和 x64 进程。 它应该适用于从 Windows XP 到 Windows 8 的所有平台。目前仅在 Windows 7 上测试。 每个进程在 PE 块内以三个接列表的形式维护内部加载的模块/DLL 集。 加载订单列表 内存顺序表 初始化顺序列表 ##Commands 在控制台中运行: DLLHiding32.exe "进程名称" "DLL 名称" DLLHiding64.exe "进程名称" "DLL 名称" ##Limitations 应该有效地对所有用户模式应用程序隐藏模块。 具有内核模式访问权限的应用程序可以枚举隐藏的模块,这些应用程序包括进程资源管理器,因为内核对象保持不变。 此外,用户模式应用程序可
二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见隐藏DLL方法)
Koma的主页
03-03 1684
目前,比较常见的模块隐藏方法有抹去模块的PE头、开进程的LDR_MODULE或者Hook模块枚举函数等,这里介绍前面抹去PE头、的方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
PEB
hongduilanjun的博客
03-18 2274
这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEBPEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
4.PEB隐藏模块
Mikasys的博客
10-25 1802
0x4 PEB隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
模块隐藏
m0_51681331的博客
07-25 942
关于的笔记
c语言隐藏dll,利用C++ R3层实现模块隐藏功能
weixin_39765840的博客
05-20 1520
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向表,通过遍历双向表中某一成员(字符串)来查找全部模块。模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该,将某一模块从这个双向表中摘除,这样再调用传...
r77-Rootkit后渗透技战术分析
m0_71746299的博客
02-13 2786
r77-Rootkit是一个Ring3级别的RootkitRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击,Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。
‌易语言实现进程隐藏DLL注入:Rootkit技术基础
xxxisjdgskdhw的博客
10-28 206
DLL注入机制通过修改目标进程内存空间,强制加载外部DLL模块。获取目标进程句柄在目标进程中分配内存空间写入DLL路径信息创建远程线程执行加载操作隐藏式实现关键使用间接调用技术避免直接API调用清除进程模块表中的注入痕迹内存操作时规避常规检测点Rootkit关联特性通过系统回调隐藏进程/模块拦截内核对象查询操作修改系统数据结构实现深度隐藏
深度解析OpenArk:Windows系统安全检测实战与内核级Rootkit对抗技术
gitblog_00511的博客
05-17 489
OpenArk作为Windows平台上的下一代反Rootkit工具,为安全研究人员和系统管理员提供了强大的系统安全检测能力。这款开源工具不仅能够帮助您发现隐藏在操作系统深处的恶意软件,还集成了丰富的逆向工程和编程辅助功能。本文将深入探讨OpenArk在系统安全检测实战中的应用技巧,以及如何利用其内核级分析能力对抗现代Rootkit威胁。 ## 系统安全检测的核心挑战与OpenArk的解决方案
r77-rootkit代码实现原理:多阶段注入与内存驻留技术
gitblog_00160的博客
05-02 376
r77-rootkit是一款无文件型ring 3级rootkit,通过多阶段注入与内存驻留技术实现进程隐藏、文件隐藏和网络连接隐藏等核心功能。本文将深入解析其代码实现原理,帮助新手理解现代rootkit的关键技术路径。 ## 一、多阶段注入技术:从安装到执行的完整条 r77-rootkit的注入流程采用分层设计,通过多个组件协同完成从初始安装到内存执行的全过程。核心实现位于**Install
Nidhogg反射加载技术:如何无痕部署你的rootkit
gitblog_00054的博客
04-27 785
Nidhogg作为一款兼容Windows 10和Windows 11的x64 rootkit,其反射加载技术为开发者提供了一种隐蔽的部署方案。本文将详细介绍这一核心技术的实现原理、操作流程及注意事项,帮助你掌握无痕部署rootkit的关键方法。 ## 反射加载技术核心优势 反射加载(Reflective Loading)是Nidhogg实现隐蔽性的关键技术,它允许rootkit在不通过传统加载
内核级Rootkit攻击剖析:从驱动漏洞到FudModule隐身技术
weixin_33875839的博客
06-23 374
Rootkit是一种能够深度隐藏自身存在和活动的恶意软件,它通过挂钩系统内核函数或直接修改内核数据结构来实现隐身。其技术原理通常涉及系统服务描述符表(SSDT)挂钩、内核回调劫持或直接内核对象操作(DKOM),从而拦截和篡改系统调用返回的信息。这种技术的核心价值在于为攻击者提供持久、隐蔽的后门访问能力,常被用于高级持续性威胁(APT)攻击中,以实现长期潜伏和数据窃取。在应用场景上,Rootkit常与供应漏洞利用结合,例如攻击者利用戴尔驱动程序漏洞(CVE-2021-21551)进行权限提升后,部署FudM
OpenArk深度评测:Windows平台开源反Rootkit工具的三大核心优势
gitblog_00456的博客
06-06 300
你是否曾怀疑自己的Windows系统被恶意软件入侵,却苦于找不到合适的检测工具?OpenArk作为一款功能强大的开源反Rootkit工具,为逆向工程师、安全研究人员和普通用户提供了全面的系统监控和恶意程序检测能力。这款工具不仅能深入Windows系统内核,还能提供直观的界面展示,让系统安全分析变得触手可及。 ## 🔍 系统安全痛点:传统工具的局限性 在Windows系统安全领域,普通用户常常
Volatility3实战:5个必知插件帮你快速定位内存中的恶意进程
weixin_30300225的博客
03-24 316
本文详细介绍了Volatility3内存取证工具中的5个关键插件(PsScan、Malfind、NetScan、DllList、DriverIrp),帮助安全团队快速定位内存中的恶意进程。通过真实案例分析和实战技巧,展示了这些插件如何协同工作,有效检测隐藏进程、代码注入、恶意网络连接等威胁,提升应急响应效率。
告别命令盲打:Volatility实战之恶意进程svchost深度解剖与文件提取全记录
weixin_30945039的博客
05-19 336
本文详细介绍了如何使用Volatility框架对恶意svchost进程进行深度内存取证分析,涵盖进程识别、DLL注入检测、文件提取及Rootkit对抗技术。通过实战案例,帮助安全人员掌握高级内存取证技巧,有效应对恶意进程隐藏与攻击行为。
OpenArk:Windows内核级系统安全与深度分析工具实战指南
06-19 389
系统安全与内核分析是理解操作系统底层运行机制、排查恶意软件和进行逆向工程的核心领域。其原理在于通过直接访问系统内核数据结构与API,绕过用户态抽象层,实现对进程、线程、模块、句柄及内核对象的深度洞察。这项技术的价值在于能够有效对抗高级威胁,如Rootkit和无文件攻击,为安全分析、应急响应和系统调试提供不可替代的视角。应用场景广泛覆盖恶意软件分析、系统异常排查、漏洞研究以及软件行为监控。本文聚焦于OpenArk这一开源工具,它凭借其无驱化架构实现了内核级深度检测,并通过一体化关联视图整合了进程管理、句柄分析
IDA Pro实战:逆向分析无文件攻击与内存驻留恶意代码
weixin_30268921的博客
06-18 315
在网络安全领域,恶意软件分析是识别和应对威胁的核心技术。其原理在于通过静态与动态方法,深入剖析恶意代码的结构与行为逻辑。这项技术的价值在于能够揭示攻击者的意图、手法和基础设施,为威胁检测与应急响应提供关键情报。随着攻击技术的演进,无文件攻击和内存驻留技术因其极高的隐蔽性,已成为高级持续性威胁(APT)中的常见手段。这类攻击的载荷不依赖磁盘文件,而是直接注入到合法进程的内存中执行,并利用系统原生工具实现持久化,极大地增加了传统基于文件扫描的检测难度。因此,掌握针对内存中恶意代码的分析能力变得至关重要。本文聚焦
逆向分析VT加持内核挂:剖析对抗Vanguard反作弊的技术攻防
最新发布
HJ921004的博客
06-23 532
虚拟化技术(VT)与内核模式编程是现代系统安全领域的核心基础。VT通过硬件辅助的CPU虚拟化扩展,实现了虚拟机监控器对系统资源的深度管控;内核模式则赋予代码最高权限,可直接操作硬件与系统核心数据结构。这两项技术的结合,在安全领域催生了基于虚拟化的安全机制与高级威胁的对抗。从技术价值看,它们既能构建如VBS、HVCI等硬件级防护体系,也能被用于实现权限更高、隐蔽性更强的内核级攻击载体。在游戏安全、反作弊等应用场景中,这种攻防博弈尤为激烈,例如针对《无畏契约》Vanguard系统的内核挂,就常利用VT技术尝试创
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值