黑客编程解析DLL文件

黑客编程解析DLL文件

黑客教程hacker2018-03-13 8:26:439223A+A-

前边的章目介紹了怎样隐藏进程,隐藏进程的方式是把要在程序中进行的作用放到DLL文件中进行,随后将DLL文件引入到别的程序之中,进而超过隐藏进程的目地。如今要做的是隐藏进程中的DLL文件,当把DLL文件引入到无线程序后,能够将DLL也掩藏掉。服务器系统在程序中保护着1个称为TEB的结构体,这一结构体是进程坏境块。下边还要根据WinDBG这一调节道具来一步步地學習-IEB,并根据TEB来學習怎样掩藏DLL文件。

起动WinDBG

起动WinDBG道具。如下图所示6-16如图。先后点击工具栏的“File”->“Symbol File Path有限责任公司”指令,在里边键入标记文档文件名,这儿立即填写苹果公司为人们出示的标记虚拟主机,“srv*F:\Program FIles\symbolcache*http:/{msdl.miCfosofi.com/download/sy mbols”,如下图所示6-17如图。

设定好标记文件名。就能够开使调节了。这儿调节的目的也是WinDBG,由于机理是同样的。人们来开展当地调节,先后点击莱单“File”->“Kemel Debug”指令,出現如下图所示6-18如图的对话框

黑客编程分析之掩藏DLL文件 黑客技术 第6张

黑客编程分析之掩藏DLL文件 黑客技术 第二张

挑选“Local”菜单栏,也也是开展当地调节,点击“明确”按键。那样,就能够用WinDBG开使调节了,跟随流程一步步做就就行了。

调节流程

最先获得TEB,也也是进程坏境块。在程序编写的当时,TEB自始至终储存在寄存器FS中。获得TEB的指令为“!teb”。在WinDBG的指令提醒处键入该指令.WinDBG将輸出给出內容。

黑客编程分析之掩藏DLL文件 黑客技术 第4张

从上边的輸出內容能够看得出,TEB地点为7ffde000得到TEB之后,根据TEB的地点来分析TEB的数据结构,进而得到PEB,也也是程序坏境块,指令为dt_teb7ffde000,winDBG的輸出內容给出:

黑客编程分析之掩藏DLL文件 黑客技术 第6张

上边的輸出仅仅部位輸出,该结构体十分长,这儿只查询列举的一小部分內容,要是寻找PEB在TEB中的偏位就就行了,从该指令的輸出能够看得出,PEB结构体的地点坐落于TEB结构体偏位0X30的部位,该部位储存的地点是7ffd5000,换句话说PEB的地点是7ffd5000根据该地点来分析PEB,而且得到LDR,在命令提示符处键入指令dtnt_ped7ffd5000,輸出內容给出:

黑客编程分析之掩藏DLL文件 黑客技术 第五张

从輸出构造能够看得出,LDR在PEB结构体偏位的0X0C处,该地点储存的地点是001ALE90,根据该地点来分析LDR结构体,在命令提示符键入指令DT_ped_ldr_data00lale90,WinDBG輸出给出內容:

黑客编程分析之掩藏DLL文件 黑客技术 第6张

在这一结构体中,可以看到3个同样的数据结构,也也是在偏位0X0C、0X14、0X24处的3个结构体_LIST_ENTRY,该结构体是个链表,界定给出:

黑客编程分析之掩藏DLL文件 黑客技术 第7张

上边这一结构体在SDK出示的协助中是找不着的,必须去WDK的协助中才能够寻找。

这3条链表各自储存的是LDR DATA TABLE ENTRY.也也是LDR DATA表的通道。

如今来手動遍历一会儿第一个链表,键入给出指令“dd lalec0”。

黑客编程分析之掩藏DLL文件 黑客技术 第8张

在那么多的輸出中,在链表偏位Ox18的部位是模快的投射地点,即ImageBase,在链表偏位Ox28的部位是模快的文件名及名字的地点,在Ox30的部位是模快名字的地点。查询一会儿,lalec0偏位Ox28的部位中储存的地点是20c64。接着键入指令"du 20c64”。

黑客编程分析之掩藏DLL文件 黑客技术 第9张

可以看到,輸出WinDBG的所有文件名,看来一会儿偏位Ox18的地点,该程序的投射基址为01000000。再看来一会儿偏位Ox30处的地点储存着20ca6,查询该地点,键入指令“du 20ca6”。

黑客编程分析之掩藏DLL文件 黑客技术 第10张

确实是模快的名字,即然是链表,那麼看一下下这条链表的消息

黑客编程分析之掩藏DLL文件 黑客技术 第11张

依照上边介紹的分析方式自身开展分析

黑客编程分析之掩藏DLL文件 黑客技术 第12张

上边介紹的好多个结构体在VC6的头文件中是找不着的,只有手机上還是能够查出的。这儿得出MSDN上得出的好多个结构体的界定,  该MSDN的地点为:/zh-cn/library/aaSl 3708(v=VS.85).aspx,便捷大伙儿查询。牵涉的好多个结构体的界定给出;

黑客编程分析之掩藏DLL文件 黑


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 柔侣娇痞2022-05-30 10:53:39
  • 入到无线程序后,能够将DLL也掩藏掉。服务器系统在程序中保护着1个称为TEB的结构体,这一结构体是进程坏境块。下边还要根据WinDBG这一调节道具来一步步地學習-IEB,并根据TEB来學習怎样掩藏DLL
  • 辞眸欲奴2022-05-30 06:58:31
  • ,只有手机上還是能够查出的。这儿得出MSDN上得出的好多个结构体的界定,  该MSDN的地点为:/zh-cn/library/aaSl 3708(v=VS.85).aspx,便捷大伙儿查询。牵涉的好多个结构体的界定给出;黑客编程分析之掩藏DLL文件 黑
  • 晴枙情授2022-05-30 03:00:32
  • 且得到LDR,在命令提示符处键入指令dtnt_ped7ffd5000,輸出內容给出:黑客编程分析之掩藏DLL文件 黑客技术 第五张从輸出构造能够看得出,LDR在PEB结构体偏位的0X0C处,该地点储存的地点是001ALE90,根据该地点来分析LDR结构体,在命令提示符键入指令DT_ped_

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理