Download presentation
Presentation is loading. Please wait.
Published byΣταματία Καρράς Modified 5年之前
1
本节内容 模块隐藏 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
2
<3> TEB与PEB都在用户空间
1、模块隐藏之断链 <1> TEB(Thread Environment Block ),它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB。 mov eax,fs:[0] <2> PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB。 mov eax,fs:[0x30] mov PEB,eax <3> TEB与PEB都在用户空间 2张表
3
FE 07 E1 E2 BA 66 8F B1 BA 66 8F B1 BA 66 8F B1 ?徕篺彵篺彵篺彵
2、模块隐藏之PE指纹 4D 5A FF FF MZ?........ B D ?.. 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD ?.???L?Th F D E 6E 6F is program canno E E F t be run in DOS 6D 6F E 0D 0D 0A mode....$ FE 07 E1 E2 BA 66 8F B1 BA 66 8F B1 BA 66 8F B1 ?徕篺彵篺彵篺彵 BA 66 8E B1 F1 67 8F B D2 B1 BD 66 8F B1 篺幈駁彵yi冶絝彵 79 69 D3 B1 BB 66 8F B D1 B1 BB 66 8F B1 yi颖籪彵yi驯籪彵 B1 B2 66 8F B D0 B1 CD 66 8F B1 yi€辈f彵yi斜蚮彵 79 69 D5 B1 BB 66 8F B BA 66 8F B1 yi毡籪彵Rich篺彵 C PE..L. 2张表
4
3、模块隐藏之VAD树 <课堂演示> 监控Loadlibary
5
4、最好的隐藏: 无模块注入 也就是代码注入
6
昆山爱达人信息技术有限公司 QQ: 课后练习: <线上班>学员可见
Similar presentations