本文主要是介绍3环断链以及断链后的检测方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
3环断链以及断链后的方法
我们在3环注入代码很多时候会选择注入dll,因为纯粹的硬编码不方便写出大量功能,而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中,其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位,但是就会导致我们的dll会在目标的peb中可见,也就是留下了痕迹。
这时就可以通过3环断链的方式隐藏这一部分痕迹。
三环中fs:[0]指向的是teb结构体,这个结构体描述了当前线程的信息
typedef struct _TEB {PVOID Reserved1[12];PPEB ProcessEnvironmentBlock;PVOID Reserved2[399];BYTE Reserved3[1952];PVOID TlsSlots[64];BYTE Reserved4[8];PVOID Reserved5[26];PVOID ReservedForOle;PVOID Reserved6[4];PVOID TlsExpansionSlots;
} TEB, *PTEB;
他的ProcessEnvironmentBlock成员指向了PEB
typedef struct _PEB {BYTE Reserved1[2];BYTE BeingDebugged;BYTE Reserved2[1];PVOID Reserved3[2];PPEB_LDR_DATA Ldr;PRTL_USER_PROCESS_PARAMETERS ProcessParameters;PVOID Reserved4[3];PVOID AtlThunkSListPtr;PVOID Reserved5;ULONG Reserved6;PVOID Reserved7;ULONG Reserved8;ULONG AtlThunkSListPtr32;PVOID Reserved9[45];BYTE Reserved10[96];PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;BYTE Reserved11[128];PVOID Reserved12[1];ULONG SessionId;
} PEB, *PPEB;
peb的ldr则是指向 PEB_LDR_DATA 结构的指针(这是一个链表),该结构包含有关进程已加载模块的信息。
代码如下:这是我之前写的一个辅助软件时写的dll架子,在初始化的时候我们可以断链出来。
不过这样的隐藏方式也可以通过很多其他的方法导致我们的隐藏失效。
比如说,我不通过模块链表来检测而是直接搜索内存找到有pe指纹的位置然后根据pe结构查看当前的模块名字,不是我自己的那就说明有人注入了模块进来
这篇关于3环断链以及断链后的检测方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
