本节内容 模块隐藏 视频提供:昆山爱达人信息技术有限公司 官网地址:www.bcdaren.com 联系QQ:1250121864 QQ交流群 :49759272 联系电话:0512-57882866
<3> TEB与PEB都在用户空间 1、模块隐藏之断链 <1> TEB(Thread Environment Block ),它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB。 mov eax,fs:[0] <2> PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB。 mov eax,fs:[0x30] mov PEB,eax <3> TEB与PEB都在用户空间 2张表
FE 07 E1 E2 BA 66 8F B1 BA 66 8F B1 BA 66 8F B1 ?徕篺彵篺彵篺彵 2、模块隐藏之PE指纹 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ?�...�..... B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ?......@....... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 D8 00 00 00 ............?.. 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ��?.???L?Th 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$....... FE 07 E1 E2 BA 66 8F B1 BA 66 8F B1 BA 66 8F B1 ?徕篺彵篺彵篺彵 BA 66 8E B1 F1 67 8F B1 79 69 D2 B1 BD 66 8F B1 篺幈駁彵yi冶絝彵 79 69 D3 B1 BB 66 8F B1 79 69 D1 B1 BB 66 8F B1 yi颖籪彵yi驯籪彵 79 69 80 B1 B2 66 8F B1 79 69 D0 B1 CD 66 8F B1 yi€辈f彵yi斜蚮彵 79 69 D5 B1 BB 66 8F B1 52 69 63 68 BA 66 8F B1 yi毡籪彵Rich篺彵 00 00 00 00 00 00 00 00 50 45 00 00 4C 01 04 00 ........PE..L��. 2张表
3、模块隐藏之VAD树 <课堂演示> 监控Loadlibary
4、最好的隐藏: 无模块注入 也就是代码注入
昆山爱达人信息技术有限公司 www.bcdaren.com QQ:1250121864 课后练习: <线上班>学员可见