如何通过C R3层断链技术实现模块的隐蔽性?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1481个文字,预计阅读时间需要6分钟。
模块隐藏的实现原理 + 普通API查找模块实现思路:通过查询R3中的PEB(Process Environment Block,进程环境块)与TEB(Thread Environment Block,线程环境块)找到的双向链表。
一、模块隐藏的实现原理
普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。
模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。
二、结构体成员详细介绍
<1> TEB结构体 -- 内存地址为 fs:[0] 处。
本文共计1481个文字,预计阅读时间需要6分钟。
模块隐藏的实现原理 + 普通API查找模块实现思路:通过查询R3中的PEB(Process Environment Block,进程环境块)与TEB(Thread Environment Block,线程环境块)找到的双向链表。
一、模块隐藏的实现原理
普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。
模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传统的API时就会搜索不到。
二、结构体成员详细介绍
<1> TEB结构体 -- 内存地址为 fs:[0] 处。