精易论坛

标题: r3下有没有能彻底隐藏DLL的方法 [打印本页]

作者: pxj5920 时间: 2024-9-25 22:14
标题: r3下有没有能彻底隐藏DLL的方法
r3下有没有能彻底隐藏DLL的方法

作者: pxj5920 时间: 2024-9-25 22:15
x64 r3下有没有能彻底隐藏DLL的方法

作者: 同学麻烦让让 时间: 2024-9-25 22:27
要么锻炼再抹除PE头，只不过暴力枚举还是能枚举出来，要么把DLL代码复制后卸载DLL再在原位置申请内存把代码写回去，但是不一定成功

作者: baitso 时间: 2024-9-25 22:33
game ec模式有这个功能，但实际作用不大，特别是对于驱动级的检测！

补充内容 (2024-9-25 23:05):
乐yi模块也有，但一样可以检出第三方.大漠的DmGuard inject 或者hm 也可以,但有的失效了

作者: pxj5920 时间: 2024-9-25 23:26

baitso 发表于 2024-9-25 22:33
game ec模式有这个功能，但实际作用不大，特别是对于驱动级的检测！

补充内容 (2024-9-25 23:05):

兄弟有没有不用模块的方法

作者: baitso 时间: 2024-9-25 23:44

pxj5920 发表于 2024-9-25 23:26
兄弟有没有不用模块的方法

没有，这个不是几行代码可以搞定的，一般是擦除PE,断链，擦除vad。

作者: pxj5920 时间: 2024-9-25 23:51

baitso 发表于 2024-9-25 23:44
没有，这个不是几行代码可以搞定的，一般是擦除PE,断链，擦除vad。

有没有兴趣帮我处理一下

作者: xyh3526 时间: 2024-9-25 23:52
兄弟这个真哒没有，就看谁隐藏的好了

作者: LLXXLL 时间: 2024-9-26 00:10
如果熟悉pe结构的话可以自己重写loadlibrary函数然后再函数里抹除pe头特征这样的话只有驱动检测或者堆栈回溯能检测

作者: pxj5920 时间: 2024-9-26 00:28

LLXXLL 发表于 2024-9-26 00:10
如果熟悉pe结构的话可以自己重写loadlibrary函数然后再函数里抹除pe头特征这样的话只有驱动检测或者堆栈回 ...

兄弟能帮处理一下吗

作者: LLXXLL 时间: 2024-9-26 00:32

pxj5920 发表于 2024-9-26 00:28
兄弟能帮处理一下吗

我没兴趣也不会建议你去定制哪里发

作者: pxj5920 时间: 2024-9-26 00:38

LLXXLL 发表于 2024-9-26 00:32
我没兴趣也不会建议你去定制哪里发

定制一直不给通过

作者: yangjz 时间: 2024-9-27 10:40
gfwawawgawgaawggawawggaw

作者: qq73s5456 时间: 2024-9-28 14:20
参考那个 HOOK API ，对DLL 文件进行转向

欢迎光临精易论坛 (https://125.confly.eu.org/)