黑客编程解析DLL文件

前边的章目介紹了怎样隐藏进程，隐藏进程的方式是把要在程序中进行的作用放到DLL文件中进行，随后将DLL文件引入到别的程序之中，进而超过隐藏进程的目地。如今要做的是隐藏进程中的DLL文件，当把DLL文件引入到无线程序后，能够将DLL也掩藏掉。服务器系统在程序中保护着1个称为TEB的结构体，这一结构体是进程坏境块。下边还要根据WinDBG这一调节道具来一步步地學習-IEB，并根据TEB来學習怎样掩藏DLL文件。

起动WinDBG

起动WinDBG道具。如下图所示6-16如图。先后点击工具栏的“File”->“Symbol File Path有限责任公司”指令，在里边键入标记文档文件名，这儿立即填写苹果公司为人们出示的标记虚拟主机，“srv*F:\Program FIles\symbolcache*http:/{msdl.miCfosofi.com/download/sy mbols”，如下图所示6-17如图。

设定好标记文件名。就能够开使调节了。这儿调节的目的也是WinDBG，由于机理是同样的。人们来开展当地调节，先后点击莱单“File”->“Kemel Debug”指令，出現如下图所示6-18如图的对话框

黑客编程分析之掩藏DLL文件 黑客技术 第6张

黑客编程分析之掩藏DLL文件 黑客技术 第二张

挑选“Local”菜单栏，也也是开展当地调节，点击“明确”按键。那样，就能够用WinDBG开使调节了，跟随流程一步步做就就行了。

调节流程

最先获得TEB，也也是进程坏境块。在程序编写的当时，TEB自始至终储存在寄存器FS中。获得TEB的指令为“!teb”。在WinDBG的指令提醒处键入该指令．WinDBG将輸出给出內容。

黑客编程分析之掩藏DLL文件 黑客技术 第4张

从上边的輸出內容能够看得出，TEB地点为7ffde000得到TEB之后，根据TEB的地点来分析TEB的数据结构，进而得到PEB，也也是程序坏境块，指令为dt_teb7ffde000,winDBG的輸出內容给出：

黑客编程分析之掩藏DLL文件 黑客技术 第6张

上边的輸出仅仅部位輸出，该结构体十分长，这儿只查询列举的一小部分內容，要是寻找PEB在TEB中的偏位就就行了，从该指令的輸出能够看得出，PEB结构体的地点坐落于TEB结构体偏位0X30的部位，该部位储存的地点是7ffd5000，换句话说PEB的地点是7ffd5000根据该地点来分析PEB，而且得到LDR，在命令提示符处键入指令dtnt_ped7ffd5000,輸出內容给出：

黑客编程分析之掩藏DLL文件 黑客技术 第五张

从輸出构造能够看得出，LDR在PEB结构体偏位的0X0C处，该地点储存的地点是001ALE90，根据该地点来分析LDR结构体，在命令提示符键入指令DT_ped_ldr_data00lale90,WinDBG輸出给出內容：

黑客编程分析之掩藏DLL文件 黑客技术 第6张

在这一结构体中，可以看到3个同样的数据结构，也也是在偏位0X0C、0X14、0X24处的3个结构体_LIST_ENTRY，该结构体是个链表，界定给出：

黑客编程分析之掩藏DLL文件 黑客技术 第7张

上边这一结构体在SDK出示的协助中是找不着的，必须去WDK的协助中才能够寻找。

这3条链表各自储存的是LDR DATA TABLE ENTRY．也也是LDR DATA表的通道。

如今来手動遍历一会儿第一个链表，键入给出指令“dd lalec0”。

黑客编程分析之掩藏DLL文件 黑客技术 第8张

在那么多的輸出中，在链表偏位Ox18的部位是模快的投射地点，即ImageBase，在链表偏位Ox28的部位是模快的文件名及名字的地点，在Ox30的部位是模快名字的地点。查询一会儿，lalec0偏位Ox28的部位中储存的地点是20c64。接着键入指令"du 20c64”。

黑客编程分析之掩藏DLL文件 黑客技术 第9张

可以看到，輸出WinDBG的所有文件名，看来一会儿偏位Ox18的地点，该程序的投射基址为01000000。再看来一会儿偏位Ox30处的地点储存着20ca6，查询该地点，键入指令“du 20ca6”。

黑客编程分析之掩藏DLL文件 黑客技术 第10张

确实是模快的名字，即然是链表，那麼看一下下这条链表的消息

黑客编程分析之掩藏DLL文件 黑客技术 第11张

依照上边介紹的分析方式自身开展分析

黑客编程分析之掩藏DLL文件 黑客技术 第12张

上边介紹的好多个结构体在VC6的头文件中是找不着的，只有手机上還是能够查出的。这儿得出MSDN上得出的好多个结构体的界定，  该MSDN的地点为：/zh-cn/library/aaSl 3708(v=VS.85)．aspx，便捷大伙儿查询。牵涉的好多个结构体的界定给出；

黑客编程分析之掩藏DLL文件 黑