3环PEB断链实现

2024-03-07 15:04
文章标签 实现 peb 断链

本文主要是介绍3环PEB断链实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

那么我们首先定义_PEB_LDR_DATA_LDR_DATA_TABLE_ENTRY结构

// LDR链表头
typedef struct _PEB_LDR_DATA
{DWORD Length;bool Initialized;PVOID SsHandle;LIST_ENTRY InLoadOrderModuleList; // 指向了 InLoadOrderModuleList 链表的第一项LIST_ENTRY InMemoryOrderModuleList;LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA,*PPEB_LDR_DATA;typedef struct _LDR_DATA_TABLE_ENTRY
{LIST_ENTRY          InLoadOrderModuleList;LIST_ENTRY          InMemoryOrderModuleList;LIST_ENTRY          InInitializationOrderModuleList;void*               BaseAddress;void*               EntryPoint;  ULONG               SizeOfImage;UNICODE_STRING        FullDllName;UNICODE_STRING      BaseDllName;ULONG               Flags;SHORT               LoadCount;SHORT               TlsIndex;HANDLE              SectionHandle;ULONG               CheckSum;ULONG               TimeDateStamp;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

然后通过汇编定位到LDR

    __asm{mov eax,fs:[0x30] // PEB mov ecx,[eax + 0x0c] // LDRmov ldr,ecx  }

因为这里三个双向链表的结构都是一样的,这里就以InLoadOrderModuleList来进行断链示范,这里要实现断链,最简单的做法就是让Head的Flink和Blink指向它自己

首先通过获取到的ldr结构指向InLoadOrderModuleList

Head = &(ldr->InLoadOrderModuleList);

然后通过CONTAINING_RECORD这个宏返回结构体基址

Cur = Head->Flink;
ldte = CONTAINING_RECORD( Cur, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleLi

 

void CONTAINING_RECORD(address,type,field
);

进行断链操作

        ldte->InInitializationOrderModuleList.Blink->Flink = ldte->InInitializationOrderModuleList.Flink;  ldte->InInitializationOrderModuleList.Flink->Blink = ldte->InInitializationOrderModuleList.Blink;    

然后将指针指向下一个结构

Cur = Cur->Flink;

因为需要遍历链表进行断链指向自身的操作,这里就需要写一个循环进行断链,完整代码如下

// killPEB.cpp : Defines the entry point for the console application.
//#include "stdafx.h"
#include <Windows.h>typedef struct _UNICODE_STRING {USHORT Length;USHORT MaximumLength;PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;typedef struct _PEB_LDR_DATA
{DWORD Length;bool Initialized;PVOID SsHandle;LIST_ENTRY InLoadOrderModuleList;LIST_ENTRY InMemoryOrderModuleList;LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA,*PPEB_LDR_DATA;// LDR表项,存储了模块信息
typedef struct _LDR_DATA_TABLE_ENTRY
{LIST_ENTRY          InLoadOrderModuleList;LIST_ENTRY          InMemoryOrderModuleList;LIST_ENTRY          InInitializationOrderModuleList;void*               BaseAddress;void*               EntryPoint;  ULONG               SizeOfImage;UNICODE_STRING        FullDllName;UNICODE_STRING      BaseDllName;ULONG               Flags;SHORT               LoadCount;SHORT               TlsIndex;HANDLE              SectionHandle;ULONG               CheckSum;ULONG               TimeDateStamp;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;void HideModule(HMODULE hModule)
{    PPEB_LDR_DATA ldr;  PLDR_DATA_TABLE_ENTRY ldte;__asm{mov eax,fs:[0x30]  mov ecx,[eax + 0x0c] mov ldr,ecx  }PLIST_ENTRY Head, Cur; Head = &(ldr->InLoadOrderModuleList);Cur = Head->Flink;do{ldte = CONTAINING_RECORD( Cur, LDR_DATA_TABLE_ENTRY, InLoadOrderModuleList);if (ldte->BaseAddress == hModule){        ldte->InLoadOrderModuleList.Blink->Flink = ldte->InLoadOrderModuleList.Flink;  ldte->InLoadOrderModuleList.Flink->Blink = ldte->InLoadOrderModuleList.Blink;         }Cur = Cur->Flink;} while(Head != Cur);Head = &(ldr->InMemoryOrderModuleList);Cur = Head->Flink;do  {  ldte = CONTAINING_RECORD( Cur, LDR_DATA_TABLE_ENTRY, InMemoryOrderModuleList);  if (ldte->BaseAddress == hModule){ldte->InMemoryOrderModuleList.Blink->Flink = ldte->InMemoryOrderModuleList.Flink;  ldte->InMemoryOrderModuleList.Flink->Blink = ldte->InMemoryOrderModuleList.Blink;         }Cur = Cur->Flink;} while(Head != Cur);Head = &(ldr->InInitializationOrderModuleList);Cur = Head->Flink;do  {  ldte = CONTAINING_RECORD( Cur, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);  if (ldte->BaseAddress == hModule){ldte->InInitializationOrderModuleList.Blink->Flink = ldte->InInitializationOrderModuleList.Flink;  ldte->InInitializationOrderModuleList.Flink->Blink = ldte->InInitializationOrderModuleList.Blink;                     }Cur = Cur->Flink;} while(Head != Cur);
}int main(int argc, CHAR* argv[])
{printf("点任意按键开始断链");getchar();HideModule(GetModuleHandleA("kernel32.dll"));printf("断链成功\n");getchar();return 0;
}

这里在没有开始断链的时候可以看到是由3个模块的

锻炼之后可以发现kerner32.dll已经被隐藏

如果要实现所有模块的隐藏,直接将模块判断的代码删除即可

void HideModule_All()
{    PPEB_LDR_DATA ldr;  PLDR_DATA_TABLE_ENTRY ldte;// 获取LDR__asm{mov eax,fs:[0x30] mov ecx,[eax + 0x0c] mov ldr,ecx  }PLIST_ENTRY Head; Head = &(ldr->InLoadOrderModuleList);Head->Flink = Head->Blink = Head;Head = &(ldr->InMemoryOrderModuleList);Head->Flink = Head->Blink = Head;Head = &(ldr->InInitializationOrderModuleList);Head->Flink = Head->Blink = Head;    
}

实现效果如下

断链之后,模块已经全部看不到了

这篇关于3环PEB断链实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/783914

相关文章

Java实现将Markdown转换为纯文本

Java实现将Markdown转换为纯文本

《Java实现将Markdown转换为纯文本》这篇文章主要为大家详细介绍了两种在Java中实现Markdown转纯文本的主流方法,文中的示例代码讲解详细,大家可以根据需求选择适合的方案... 目录方法一:使用正则表达式(轻量级方案)方法二:使用 Flexmark-Java 库(专业方案)1. 添加依赖(Ma
阅读更多...
使用EasyExcel实现简单的Excel表格解析操作

使用EasyExcel实现简单的Excel表格解析操作

《使用EasyExcel实现简单的Excel表格解析操作》:本文主要介绍如何使用EasyExcel完成简单的表格解析操作,同时实现了大量数据情况下数据的分次批量入库,并记录每条数据入库的状态,感兴... 目录前言固定模板及表数据格式的解析实现Excel模板内容对应的实体类实现AnalysisEventLis
阅读更多...
Mybatis从3.4.0版本到3.5.7版本的迭代方法实现

Mybatis从3.4.0版本到3.5.7版本的迭代方法实现

《Mybatis从3.4.0版本到3.5.7版本的迭代方法实现》本文主要介绍了Mybatis从3.4.0版本到3.5.7版本的迭代方法实现,包括主要的功能增强、不兼容的更改和修复的错误,具有一定的参考... 目录一、3.4.01、主要的功能增强2、selectCursor example3、不兼容的更改二、
阅读更多...
如何使用C#串口通讯实现数据的发送和接收

如何使用C#串口通讯实现数据的发送和接收

《如何使用C#串口通讯实现数据的发送和接收》本文详细介绍了如何使用C#实现基于串口通讯的数据发送和接收,通过SerialPort类,我们可以轻松实现串口通讯,并结合事件机制实现数据的传递和处理,感兴趣... 目录1. 概述2. 关键技术点2.1 SerialPort类2.2 异步接收数据2.3 数据解析2.
阅读更多...
mybatis-plus 实现查询表名动态修改的示例代码

mybatis-plus 实现查询表名动态修改的示例代码

《mybatis-plus实现查询表名动态修改的示例代码》通过MyBatis-Plus实现表名的动态替换,根据配置或入参选择不同的表,本文主要介绍了mybatis-plus实现查询表名动态修改的示... 目录实现数据库初始化依赖包配置读取类设置 myBATis-plus 插件测试通过 mybatis-plu
阅读更多...
Qt把文件夹从A移动到B的实现示例

Qt把文件夹从A移动到B的实现示例

《Qt把文件夹从A移动到B的实现示例》本文主要介绍了Qt把文件夹从A移动到B的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学... 目录如何移动一个文件? 如何移动文件夹(包含里面的全部内容):如何删除文件夹:QT 文件复制,移动(
阅读更多...
Flask 验证码自动生成的实现示例

Flask 验证码自动生成的实现示例

《Flask验证码自动生成的实现示例》本文主要介绍了Flask验证码自动生成的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习... 目录生成图片以及结果处理验证码蓝图html页面展示想必验证码大家都有所了解,但是可以自己定义图片验证码
阅读更多...
VSCode配置Anaconda Python环境的实现

VSCode配置Anaconda Python环境的实现

《VSCode配置AnacondaPython环境的实现》VisualStudioCode中可以使用Anaconda环境进行Python开发,本文主要介绍了VSCode配置AnacondaPytho... 目录前言一、安装 Visual Studio Code 和 Anaconda二、创建或激活 conda
阅读更多...
使用mvn deploy命令上传jar包的实现

使用mvn deploy命令上传jar包的实现

《使用mvndeploy命令上传jar包的实现》本文介绍了使用mvndeploy:deploy-file命令将本地仓库中的JAR包重新发布到Maven私服,文中通过示例代码介绍的非常详细,对大家的学... 目录一、背景二、环境三、配置nexus上传账号四、执行deploy命令上传包1. 首先需要把本地仓中要
阅读更多...
JAVA封装多线程实现的方式及原理

JAVA封装多线程实现的方式及原理

《JAVA封装多线程实现的方式及原理》:本文主要介绍Java中封装多线程的原理和常见方式,通过封装可以简化多线程的使用,提高安全性,并增强代码的可维护性和可扩展性,需要的朋友可以参考下... 目录前言一、封装的目标二、常见的封装方式及原理总结前言在 Java 中,封装多线程的原理主要围绕着将多线程相关的操
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2