精易论坛

标题: 置入汇编实现 DLL隐藏自身模块 [打印本页]
作者: taizhong    时间: 2020-6-17 20:44
标题: 置入汇编实现 DLL隐藏自身模块
网上有好多dll隐藏自身模块源码,但是大部分不好用,于是翻看C源码,发现不难实现
如果翻译成易语言源码,难度倒是不大,但是需要做几个shuj类型转换shuj
复制粘贴写了几行,复制粘贴重复劳动真是很难受
于是灵机一动,何不写成shellcode?
这样写的好处是,易语言不用接触任何shuj结构
经过一番测试,置入汇编实现 DLL隐藏自身模块,终于成功了
==========
实现功能
1抹去PE标志 2 断开链表
易语言程序加载调用此函数的dll后,PCH查看效果如下:



==========

调用过程如下
  
子程序名返回值类型公开备 注
Dll入口函数逻辑型 这个是黑月的入口函数,类似于其它语言的DLLMAIN,在“_启动子程序”之后执行,必须勾上“公开”
参数名类 型参考可空数组备 注
DLL实例句柄整数型
调用类型整数型DLL_PROCESS_ATTACH;DLL_PROCESS_DETACH;DLL_THREAD_ATTACH;DLL_THREAD_DETACH;
保留整数型
判断 (调用类型 = #DLL_PROCESS_ATTACH )  ' //进程映射
隐藏模块 (DLL实例句柄)

判断 (调用类型 = #DLL_PROCESS_DETACH )  ' //进程卸载
判断 (调用类型 = #DLL_THREAD_ATTACH )  ' //线程映射
判断 (调用类型 = #DLL_THREAD_DETACH )  ' //线程卸载



返回 ()


置入汇编源码如下
==========
  
子程序名返回值类型公开备 注
隐藏模块 ' 问题反馈 taizhong [email protected]
参数名类 型参考可空数组备 注
模块句柄整数型
' by taizhong [email][email protected][/email]
置入代码 ({ 81, 83, 86, 87, 232, 175, 0, 0, 0, 139, 125, 8, 139, 240, 141, 69, 252, 187, 0, 4, 0, 0, 80, 106, 4, 83, 87, 255, 214, 51, 192, 102, 137, 7, 33, 71, 64, 141, 69, 252, 80, 255, 117, 252, 83, 87, 255, 214, 139, 207, 232, 9, 0, 0, 0, 95, 94, 91, 139, 229, 93, 194, 4, 0, 81, 81, 131, 100, 36, 4, 0, 131, 36, 36, 0, 83, 85, 86, 87, 139, 233, 96, 156, 51, 210, 100, 139, 90, 48, 139, 75, 12, 141, 81, 12, 139, 73, 12, 137, 84, 36, 52, 137, 76, 36, 56, 157, 97, 139, 84, 36, 20, 139, 116, 36, 16, 57, 106, 24, 116, 14, 139, 242, 139, 18, 59, 84, 36, 16, 117, 241, 51, 192, 235, 42, 139, 2, 137, 6, 139, 10, 139, 66, 4, 137, 65, 4, 139, 66, 8, 137, 70, 8, 139, 74, 8, 139, 66, 12, 137, 65, 204, 139, 66, 16, 137, 70, 16, 139, 74, 16, 139, 66, 20, 137, 65, 148, 95, 94, 93, 91, 89, 89, 195, 81, 81, 100, 161, 48, 0, 0, 0, 83, 85, 86, 139, 64, 12, 87, 139, 72, 12, 235, 96, 139, 66, 60, 139, 9, 139, 116, 16, 120, 137, 116, 36, 20, 133, 246, 116, 79, 139, 92, 22, 32, 51, 255, 3, 218, 57, 124, 22, 24, 118, 65, 139, 43, 51, 192, 3, 234, 137, 68, 36, 16, 141, 91, 4, 138, 69, 0, 132, 192, 116, 38, 139, 116, 36, 16, 107, 246, 33, 15, 190, 192, 3, 240, 69, 138, 69, 0, 132, 192, 117, 240, 137, 116, 36, 16, 129, 124, 36, 16, 200, 247, 233, 119, 139, 116, 36, 20, 116, 23, 71, 59, 124, 22, 24, 114, 191, 139, 81, 24, 133, 210, 117, 153, 51, 192, 95, 94, 93, 91, 89, 89, 195, 139, 68, 22, 36, 141, 4, 120, 15, 183, 12, 16, 139, 68, 22, 28, 141, 4, 136, 139, 4, 16, 3, 194, 235, 224 })


附上调用和使用的源码文件
注意 必须使用黑月编译,dll隐藏后可能无法正常调用导出函数

置入汇编隐藏dll自身模块.e (7.05 KB, 下载次数: 531)





作者: seaser    时间: 2020-6-17 20:56
沙发 感谢分享 收藏了
作者: 283688410    时间: 2020-6-17 22:12
谢谢楼主分享
作者: By:南哥    时间: 2020-6-17 23:20
楼主 可以 断链之后可以卸载自身模块吗
作者: xml696900    时间: 2020-6-18 02:32
By:南哥 发表于 2020-6-17 23:20
楼主 可以 断链之后可以卸载自身模块吗

PE头抹了估计卸载不了了
作者: 北堤老猫    时间: 2020-6-18 08:44
收藏以后学习!谢谢!
作者: taizhong    时间: 2020-6-18 12:46
By:南哥 发表于 2020-6-17 23:20
楼主 可以 断链之后可以卸载自身模块吗

提前备份链表,断链后可以恢复,就是有些麻烦
作者: 寂寞的小黄瓜    时间: 2020-6-18 13:54
下载看看,谢谢楼主分享
作者: huang14    时间: 2020-6-18 22:25
厉害厉害
作者: 杨明煜    时间: 2020-6-18 22:25
谢谢,真好.................
作者: taizhong    时间: 2020-6-18 22:40
huang14 发表于 2020-6-18 22:25
厉害厉害

还行吧
作者: 风晨小生    时间: 2020-6-19 00:42
过来学习看看
作者: ujff77    时间: 2020-6-20 13:40
#在这里快速害了啊  亲回复#
作者: Wangzheaa3    时间: 2020-6-20 13:55
感谢分享~~~~
作者: 零下三百六十度    时间: 2020-6-21 09:44
厉害了,牛逼的我哥
作者: pipi9    时间: 2020-6-22 01:06
羡慕大佬
作者: 笨大脑壳鱼    时间: 2020-6-25 22:34
一直在找这个,但是不会用
作者: 2442295093    时间: 2020-6-26 11:20
感谢你的支持,精易有你更精彩
作者: Bszk    时间: 2020-6-26 11:43
是我用法有问题吗。。
LoadLibraryA直接蹦
作者: taizhong    时间: 2020-6-27 02:03
Bszk 发表于 2020-6-26 11:43
是我用法有问题吗。。
LoadLibraryA直接蹦

用黑月编译的?不会啊
作者: Bszk    时间: 2020-6-27 11:45
taizhong 发表于 2020-6-27 02:03
用黑月编译的?不会啊

是用黑月
作者: taizhong    时间: 2020-6-27 14:47
Bszk 发表于 2020-6-27 11:45
是用黑月

我测试功能正常啊,,,你别放到启动窗口下面,,
放在别的地方,或者用启动子程序
作者: Bszk    时间: 2020-6-27 15:05
taizhong 发表于 2020-6-27 14:47
我测试功能正常啊,,,你别放到启动窗口下面,,
放在别的地方,或者用启动子程序

一样,直接崩
作者: taizhong    时间: 2020-6-27 16:16
Bszk 发表于 2020-6-27 15:05
一样,直接崩

啊这......
作者: pengrui8    时间: 2020-6-28 15:51
PChunter还是能看到红色dll,不算真正的隐藏,我的可以R0 R3层完全看不到dll的存在,甚至加载后dll还可以删除掉
作者: 世界系之神    时间: 2020-7-15 01:18
支持开源~!感谢分享
作者: a524271729    时间: 2020-10-29 02:57
pengrui8 发表于 2020-6-28 15:51
PChunter还是能看到红色dll,不算真正的隐藏,我的可以R0 R3层完全看不到dll的存在,甚至加载后dll还可以删 ...

加载后复制自身吧,然后原本那个在入口函数的时候就直接返回卸载了
作者: ljg1479    时间: 2021-1-26 01:51
pengrui8 发表于 2020-6-28 15:51
PChunter还是能看到红色dll,不算真正的隐藏,我的可以R0 R3层完全看不到dll的存在,甚至加载后dll还可以删 ...

在哪里?发出来!
作者: 凉忆亦凉心    时间: 2021-1-28 10:20
来看看
作者: asd1907    时间: 2021-2-5 13:19
哈哈哈哈哈哈哈哈哈哈哈哈
作者: asd1907    时间: 2021-2-5 13:20
哈哈哈哈哈哈哈哈哈哈
作者: 小迷人啦啦啦    时间: 2021-3-29 20:10
支持开源~!感谢分享
作者: 小迷人啦啦啦    时间: 2021-3-29 20:33
支持开源~!感谢分享
作者: wu6571629    时间: 2021-5-10 21:12
666666666666666666666
作者: 小喇叭呀    时间: 2021-6-4 21:06
的点点滴滴多多多多多多多多多
作者: 小喇叭呀    时间: 2021-6-4 21:06
阿萨德对对对多多多多多
作者: 745664583    时间: 2021-6-5 12:26
666666666666666666666666666666
作者: 745664583    时间: 2021-6-5 12:26
5555555555555555555555555555555
作者: lvjiangshan    时间: 2021-6-21 10:26
干的优秀
作者: 星河旧梦    时间: 2021-7-22 21:48
        支持开源~!感谢分享
作者: a3960382663    时间: 2021-7-23 21:50
支持开源~!感谢分享
作者: gjwkts    时间: 2021-8-28 10:14
都是牛牛的大神
作者: Dukes    时间: 2021-8-28 14:30

谢谢分享,用着先
作者: yang2755    时间: 2021-10-25 15:34
谢谢大哥
作者: N1ce3z    时间: 2022-2-28 13:45
谢谢分享,用着先
作者: lrp51    时间: 2022-3-10 16:57
谢谢,真好.................
作者: w322zkkw    时间: 2022-5-23 20:17
额额额额额额额额额额
作者: w322zkkw    时间: 2022-5-23 20:20
鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅
作者: 小喇叭呀    时间: 2022-9-15 16:45
撒顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶
作者: 小喇叭呀    时间: 2022-9-15 16:45
阿三顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶
作者: LiYJ    时间: 2022-9-23 17:02
支持支持
作者: LiYJ    时间: 2022-9-23 17:08
支持支持
作者: 老任    时间: 2022-9-25 19:41
谢谢大哥
作者: 吃饭第一名    时间: 2022-12-6 00:16
        支持开源~!感谢分享
作者: daxuan2620    时间: 2022-12-12 12:27
谢谢分享
作者: daxuan2620    时间: 2022-12-12 12:27
感谢分享
作者: lisijia    时间: 2023-3-9 12:50

支持支持
作者: 小天瓶    时间: 2023-3-16 19:01
少时诵诗书所所所所所
作者: 熙洛    时间: 2023-3-21 14:25
win10 21H1 21H2版本 用不了啊
作者: mxc19980209    时间: 2023-4-18 04:03
覆盖广泛化工发货
作者: mxc19980209    时间: 2023-4-18 04:03
技术的既视感
作者: taizhong    时间: 2023-4-25 18:34
熙洛 发表于 2023-3-21 14:25
win10 21H1 21H2版本 用不了啊

应该可以用的
作者: channel999    时间: 2023-8-29 16:34
测试看看哈
作者: channel999    时间: 2023-8-29 16:37
下下来看看
作者: 红色恋曲    时间: 2023-9-8 20:24
学些了 大佬
作者: pkckckckck    时间: 2023-10-25 15:15
4242424242424242424242424242
作者: pkckckckck    时间: 2023-10-25 15:16
75555555555555555555
作者: vodvod    时间: 2023-12-31 18:22
参参参参考
作者: frh35860    时间: 2023-12-31 18:42
666,支持开源
作者: 夏天的晚风    时间: 2024-5-4 11:11
支持开源~!感谢分享
作者: wolfpack    时间: 2024-5-8 22:48
作者: 2632167561    时间: 2024-5-16 14:12
不错不错不错从
作者: wfkuku    时间: 2024-8-27 16:49
支持开源~!感谢分享
作者: sosxinyi    时间: 2024-12-2 00:14
感谢大佬
作者: jcbimmfgn1    时间: 2025-2-2 12:08
66666666666666666666666666666666666666666666666
作者: jhwydcf    时间: 2025-5-23 20:54
感谢大佬



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4