社区应用 社区服务 会员列表 统计排行 帮助 银行
  • 3121阅读
  • 64回复

[开源]汇编隐藏dll模块 支持库

楼层直达
级别: 幼儿园
发帖
23
铜币
0
威望
0
E积分
0
技术积分
0
只看该作者 50楼 发表于: 09-11
汇编隐藏dll模块 支持库
发帖
89
铜币
255
威望
0
E积分
0
技术积分
0
只看该作者 51楼 发表于: 09-11
分享是一种美德!
级别: 托儿所
发帖
4
铜币
0
威望
0
E积分
0
技术积分
0
只看该作者 52楼 发表于: 09-17
什么强大的东西
级别: 托儿所
发帖
3
铜币
79
威望
0
E积分
0
技术积分
0
只看该作者 53楼 发表于: 09-28
挺好
发帖
291
铜币
2357
威望
0
E积分
0
技术积分
0
只看该作者 54楼 发表于: 09-28
  感谢分享,下载看看
发帖
782
铜币
4673
威望
0
E积分
1
技术积分
0
只看该作者 55楼 发表于: 09-28
优秀文章,支持!n神马都是浮云
发帖
206
铜币
4753
威望
0
E积分
0
技术积分
0
只看该作者 56楼 发表于: 12-07
.版本 2

' _asm{
' cmp dword [ebp-0x4],0x0
' je F
' label hInstDll at ebp-0x4
' mov eax,[fs:0x30]       ;eax-->PEB
' mov eax,[eax+0xC]    ;eax==Ldr-->PEB_LDR_DATA
' mov  eax,[eax + 0xC]  ;LoadOrderList.Flink-->LDR_DATA_TABLE_ENTRY
' ;-----------------------------------------------------------
' ;通过循环遍历LDR_DATA_TABLE_ENTRY结构,比较DllBase与hInstDll
' ;找到描述本dll模块的LDR_DATA_TABLE_ENTRY结构
' ;-----------------------------------------------------------
' 循环首:
' mov  ebx,[eax + 0x18] ;获得模块基址
' cmp  ebx,[hInstDll]  ;找到本模块的LDR_DATA_TABLE_ENTRY
' jne _No
' mov  ebx,[eax+ 0x24 +0x4] ;模块路径
' movzx ecx,word [eax + 0x24]    ;Unicode String length 获得子串长度
' mov  edi,ebx          ;Unicode String Address
' cld
' rep  stosb          ;用Al的值填充
' mov  dword [ebx],0x0      ;(确保String首4个byte为0)
' mov dword [eax + 18h],0x0 ;隐藏模块基址
' jmp  F
' _No:
' mov  eax,[eax]        ;链表遍历
' jmp 循环首
' F:
' }

这个换成置入代码怎么写,我转换了几次都出错了
发帖
130
铜币
0
威望
0
E积分
0
技术积分
0
只看该作者 57楼 发表于: 12-07
          
发帖
243
铜币
119
威望
0
E积分
0
技术积分
0
只看该作者 58楼 发表于: 12-08
楼主继续深入研究,看看能不能把X64的也搞好!这玩意搞完善后,用处多多的,比如,可以隐藏之后,不再误报!
级别: 幼儿园
发帖
41
铜币
0
威望
0
E积分
0
技术积分
0
只看该作者 59楼 发表于: 12-09
很实用 拿去看看。
快速回复

限60 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
认证码:
上一个 下一个