热门标签
热门文章
- 1Py之mpld3:mpld3的简介、安装、使用方法之详细攻略
- 2php m3u8cms,苹果cms V8和V10整合Dplayer播放器插件支持mp4和m3u8格式播放
- 3ajax异步、同步问题,KindEditor ajax提交内容,ajax提交form表单_kindeditor.ready()和ajax请求
- 4使用bert进行中文文本分类_bert中文文本分类
- 5pscp+psftp+putty的使用_psftp使用putty session
- 6Nginx之实现文件上传与下载_nginx如何配置接收文件上传请求,并将接收到的文件存储到指定的目录中?
- 7android studio无法新建工程,我刚刚升级了Android Studio3.3.2,但是我不能创建一个新的项目。这里是错误日志。我使用的开发语言是Java。...
- 8基于微信小程序的私教预约系统 源码免费获取 可做毕业设计参考_课程预约小程序开源
- 9Android apk 打包及签名
- 10一文看懂flex布局_flex-wrap: wrap;
当前位置: article > 正文
源码解析DLL自卸载无模块注入_反外挂 无模块注入
作者:很楠不爱3 | 2024-03-07 07:16:11
赞
踩
反外挂 无模块注入
对windows安全比较熟悉的同学对模块注入应该都比较了解,很多病毒、木马、外挂都会用到,无模块注入应用得则比较少。
无模块注入的好处是DLL注入进去后,确实已经不以模块的形式存在了,用任何进程模块查看工具,都找不到注入进去的DLL。因为它已经变为一块纯堆内存,跟EXE主模块里申请的堆没有任何差别。
这里讲的一种无模块注入的方法,能够让DLL自身实现这样的功能,无需外部注入工具帮助处理。当然如果进程内自行加载这样的DLL后,也是以无模块DLL形式存在。
注入完成后,进程内找不到注入的模块存在,用Dbgview每5秒可以看到"No Module Thread"消息打印出来,表示无模块DLL内进程的活动
之前这个方法有在看雪发表过,不过没有详细讲,有的同学不是很明白,这里把源码贴出来,加上注释,应该会比较清楚了。
LoadPE.CPP
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
|
"No Module Thread"
//coded by 燕十二
#include "stdafx.h"
#include <stdio.h>
//将DLL文件读到内存
BOOL
LoadDll2Mem(
PVOID
&pAllocMem,
DWORD
&dwMemSize,
char
* strFileName)
{
HANDLE
hFile = CreateFileA(strFileName, GENERIC_READ,
FILE_SHARE_READ, NULL,
|
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/204205
推荐阅读
相关标签
