3环断链以及断链后的检测方法

3环断链以及断链后的方法

我们在3环注入代码很多时候会选择注入dll，因为纯粹的硬编码不方便写出大量功能，而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中，其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位，但是就会导致我们的dll会在目标的peb中可见，也就是留下了痕迹。

这时就可以通过3环断链的方式隐藏这一部分痕迹。

三环中fs:[0]指向的是teb结构体，这个结构体描述了当前线程的信息

typedef struct _TEB {PVOID Reserved1[12];PPEB  ProcessEnvironmentBlock;PVOID Reserved2[399];BYTE  Reserved3[1952];PVOID TlsSlots[64];BYTE  Reserved4[8];PVOID Reserved5[26];PVOID ReservedForOle;PVOID Reserved6[4];PVOID TlsExpansionSlots;
} TEB, *PTEB;

他的ProcessEnvironmentBlock成员指向了PEB

typedef struct _PEB {BYTE                          Reserved1[2];BYTE                          BeingDebugged;BYTE                          Reserved2[1];PVOID                         Reserved3[2];PPEB_LDR_DATA                 Ldr;PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;PVOID                         Reserved4[3];PVOID                         AtlThunkSListPtr;PVOID                         Reserved5;ULONG                         Reserved6;PVOID                         Reserved7;ULONG                         Reserved8;ULONG                         AtlThunkSListPtr32;PVOID                         Reserved9[45];BYTE                          Reserved10[96];PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;BYTE                          Reserved11[128];PVOID                         Reserved12[1];ULONG                         SessionId;
} PEB, *PPEB;

peb的ldr则是指向 PEB_LDR_DATA 结构的指针（这是一个链表），该结构包含有关进程已加载模块的信息。

代码如下：这是我之前写的一个辅助软件时写的dll架子，在初始化的时候我们可以断链出来。

不过这样的隐藏方式也可以通过很多其他的方法导致我们的隐藏失效。
比如说，我不通过模块链表来检测而是直接搜索内存找到有pe指纹的位置然后根据pe结构查看当前的模块名字，不是我自己的那就说明有人注入了模块进来