C/C++ 64位断链隐藏DLL？

我想实现对当前进程已加载的DLL进行隐藏的功能，网上已有32位系统的代码，我想在64位系统使用。于是我对https://www.cnblogs.com/onetrainee/p/11674211.html进行了略微的更改，而且将Intel汇编语法改为AT&T语法（这样DevC++才支持）。这是目前的代码：

/* 所需要的结构体
  1. _LDR_DATA_TABLE_ENTRY 链表指向数据
  2. _PEB_LDR_DATA 表示其 PEB0x处指向的数据表
  3. _LIST_ENTRY 指针指向的链表
  都已经在winternl.h中有定义，无需手动定义
 */

typedef struct _LDR_MODULE
{
    LIST_ENTRY          InLoadOrderModuleList;
    LIST_ENTRY          InMemoryOrderModuleList;
    LIST_ENTRY          InInitializationOrderModuleList;
    void*               BaseAddress;
    void*               EntryPoint;
    ULONG               SizeOfImage;
    UNICODE_STRING   FullDllName;
    UNICODE_STRING      BaseDllName;
    ULONG               Flags;
    SHORT               LoadCount;
    SHORT               TlsIndex;
    HANDLE              SectionHandle;
    ULONG               CheckSum;
    ULONG               TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

using QWORD= unsigned long long;
using ADDRESS = QWORD; //因为是64位系统，所以只好用这个了
bool HideModule(char* szModule)
{
    HMODULE hMod = GetModuleHandleA(szModule);
    PLIST_ENTRY Head, Cur;
    PPEB_LDR_DATA ldr;
    PLDR_MODULE ldm;
    SetColor(7,0);
        ADDRESS* PEB;
    cout<<"\n获取PEB...";
    asm volatile(
        "movq %%gs:0x60, %0\n\t"      //64位系统上0x30偏移变成了0x60
        : "=r" (PEB)
        :
        :
        );  //ChatGPT 3.5帮忙修改
    SetColor(14,0);
    cout<<"\nPEB:"<<*PEB;  //成功获取！
    ldr = ((PPEB_LDR_DATA)((BYTE*)PEB+0x0C));
    
    SetColor(6,0);
    cout<<"\nLDR="<<ADDRESS(ldr);   //成功获取！
    Head = &(ldr->InMemoryOrderModuleList);
    Cur = Head->Flink;
    SetColor(8,0);
    cout<<"\nDo...";
    do
    {
        ldm = CONTAINING_RECORD(Cur, LDR_MODULE, InLoadOrderModuleList);
        SetColor(11,0);
        cout<<"\n0 ldm="<<ADDRESS(ldm);    //输出不是空指针。
        if (hMod == ldm->BaseAddress)   //<!> 这里崩溃了！！
        {
            SetColor(14,0);
            cout<<"\n1";   //还没输出这句话就崩了
            // 三个链表同时给断掉
            ldm->InLoadOrderModuleList.Blink->Flink =
            ldm->InLoadOrderModuleList.Flink;
            ldm->InLoadOrderModuleList.Flink->Blink =
            ldm->InLoadOrderModuleList.Blink;
            
            SetColor(14,0);
            cout<<"\n2";
            //
            ldm->InInitializationOrderModuleList.Blink->Flink =
            ldm->InInitializationOrderModuleList.Flink;
            ldm->InInitializationOrderModuleList.Flink->Blink =
            ldm->InInitializationOrderModuleList.Blink;
            
            SetColor(14,0);
            cout<<"\n3";
            //
            ldm->InMemoryOrderModuleList.Blink->Flink =
            ldm->InMemoryOrderModuleList.Flink;
            ldm->InMemoryOrderModuleList.Flink->Blink =
            ldm->InMemoryOrderModuleList.Blink;
            break;
        }
        Cur = Cur->Flink;
    } while (Head != Cur);
    return true;
}

我比较菜，没学过汇编，连汇编语法转换都是问ChatGPT的（
ChatGPT3.5拒绝提供完整代码，说断链不道德（doge）祖母入睡法试过了没用
程序在输出0 ldm之后，输出1之前崩溃（代码中已标出）。

带佬们帮帮忙，在下感激不尽！！

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

专家-赤兔[在线] 全栈领域优质创作者 2023-10-11 19:53

关注

引自强大而免费的微信小程序：皆我百晓生。

根据您提供的代码，我有几点建议和注意事项：

在64位系统上，找到PEB（进程环境块）的偏移发生了变化。在64位系统上，PEB的偏移为0x60，而不是0x30。
在64位系统上，指针的大小需要使用QWORD或ADDRESS（unsigned long long）来表示，因为指针的大小为8个字节。
使用AT&T汇编语法时，内联汇编语句应该包含在asm和volatile之间，并使用双引号引起来。
在使用CONTAINING_RECORD宏时，需要确保提供正确的链表指针和结构体中的链表名称。
在断开链表时，需要确保使用正确的Blink和Flink指针。根据您提供的代码中的注释，您已经使用了正确的指针。

下面是对代码进行的修改建议：

#include <windows.h>
#include <iostream>
#include <winternl.h>

using namespace std;

typedef struct _LDR_MODULE
{
    LIST_ENTRY          InLoadOrderModuleList;
    LIST_ENTRY          InMemoryOrderModuleList;
    LIST_ENTRY          InInitializationOrderModuleList;
    void*               BaseAddress;
    void*               EntryPoint;
    ULONG               SizeOfImage;
    UNICODE_STRING      FullDllName;
    UNICODE_STRING      BaseDllName;
    ULONG               Flags;
    SHORT               LoadCount;
    SHORT               TlsIndex;
    HANDLE              SectionHandle;
    ULONG               CheckSum;
    ULONG               TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

using QWORD = unsigned long long;
using ADDRESS = QWORD;

bool HideModule(char* szModule)
{
    HMODULE hMod = GetModuleHandleA(szModule);
    PLIST_ENTRY Head, Cur;
    PPEB_LDR_DATA ldr;
    PLDR_MODULE ldm;
    QWORD* PEB;

    cout << "\n获取PEB...";
    asm volatile (
        "movq %%gs:0x60, %0\n\t"
        : "=r" (PEB)
        :
        :
    );
    cout << "\nPEB:" << *PEB;

    ldr = reinterpret_cast<PPEB_LDR_DATA>(static_cast<BYTE*>(PEB) + 0x0C);
    cout << "\nLDR=" << reinterpret_cast<ADDRESS>(ldr);

    Head = &(ldr->InMemoryOrderModuleList);
    Cur = Head->Flink;

    cout << "\nDo...";
    do
    {
        ldm = CONTAINING_RECORD(Cur, LDR_MODULE, InMemoryOrderModuleList);
        cout << "\n0 ldm=" << reinterpret_cast<ADDRESS>(ldm);

        if (hMod == ldm->BaseAddress)
        {
            cout << "\n1";
            ldm->InLoadOrderModuleList.Blink->Flink = ldm->InLoadOrderModuleList.Flink;
            ldm->InLoadOrderModuleList.Flink->Blink = ldm->InLoadOrderModuleList.Blink;

            cout << "\n2";
            ldm->InInitializationOrderModuleList.Blink->Flink = ldm->InInitializationOrderModuleList.Flink;
            ldm->InInitializationOrderModuleList.Flink->Blink = ldm->InInitializationOrderModuleList.Blink;

            cout << "\n3";
            ldm->InMemoryOrderModuleList.Blink->Flink = ldm->InMemoryOrderModuleList.Flink;
            ldm->InMemoryOrderModuleList.Flink->Blink = ldm->InMemoryOrderModuleList.Blink;

            break;
        }
        Cur = Cur->Flink;
    } while (Head != Cur);
    
    return true;
}

请注意，这只是根据您提供的代码进行的修改。这个函数用于隐藏已加载的DLL。但是需要注意，在操作系统中隐藏系统DLL可能会导致系统不稳定或不可预测的行为，因此应谨慎使用。建议仅在测试或开发环境中使用此功能。

报告相同问题？

关注问题

汇编语言与C/C++混合编程 c++ c语言
2023-04-01 22:14

回答 3 已采纳汇编程序实现变量para1和para2相加，并将结果赋给变量para3： ; 汇编代码 global sump sump: mov eax, DWORD PTR [para1] add
请问C#如何自适应去调用C++ 32、64位Dll c#
2018-12-10 06:36

回答 3 已采纳一个方法是安装程序里根据CPU类型决定装32位还是64位版本，这样你代码里只要写DllImport ComMon.dll，CLR到应用程序目录下加载到的就是正确的版本。另一个方法是32位和
vc++ x64编译调用32位的dll lib 如何实现？ c++ mfc
2018-05-29 11:13

回答 5 已采纳可以再写一个32bit的dcom组件（dll）来调用你的32bit dll，将这个 dcom 组件设置为 out of process com （oopcom），让你的64bit 程序调用这里有关
常见嵌入式/C/C++面试题100+集合（含参考答案）-更新中
2022-12-14 18:28

虫无涯的博客为变量分配地址和存储空间的称为定义，不分配地址的称为声明。一个变量可以在多个地方声明，但是只在一个地方定义。加入extern修饰的是变量的声明，...可以在不同的C文件中声明同名的全局变量，前提是其中只能有一个C。
日复一日 - C/C++ 类与抽象 c++ c语言
2022-11-09 09:46

回答 2 已采纳 #include #include #include <assert.h>using namespace std;class Date{ private: int year;
VS2019的C/C++应安装哪些组件？ c++ c语言 ide
2021-04-22 13:14

回答 11 已采纳好家伙确定只有一行搁这写python呢
C/C++#line预处理器用法？ c++ c语言
2020-04-25 20:13

回答 2 已采纳简单来说，就是让编译器把源代码行信息放入进去，以便实现类似错误输出的时候提示，错误代码在第几行这样的功能。
C/C++语言基础
2022-07-25 12:07

Perz_01的博客 c/c++
dll怎么在不同的编程语言调用？(语言-开发语言) 开发语言
2023-01-06 08:08

回答 1 已采纳在 C/C++ 中可以通过 dlopen、dlsym 和 dlclose 这些函数来加载、调用和卸载 DLL。在 Python 中可以使用 ctypes 模块来加载和调用 DLL。在 Java 中
eclipse开发C/C++，如何产生汇编代码文件？ c++ c语言 eclipse
2019-09-17 11:33

回答 1 已采纳这个和eclipse没有关系,要看你用的什么编译器,不同编译器可以通过命令行调用，有对应的选项可以输出汇编这是gcc的方法：https://www.cnblogs.com/fengkang10
VScode写c语言报错：应输入"；"C/C++(65)[7，1] c语言有问必答
2022-02-27 15:52

回答 2 已采纳 return 0后面没打分号
C/C++编程目录总结
2020-07-08 15:47

OceanStar的学习笔记的博客 linux网络编程目录关于Linux服务器编程，我们有一些约定成俗的规范 Linux服务器程序一般以后台进程(也叫做守护进程(daemon))的形式运行。它没有控制终端，因而也不会意外接收到用户输入。守护进程的父进程是init...
如何用C/C++求自然对数的底前x位？ c++ c语言
2019-07-19 21:57

回答 1 已采纳 # 如果问题解决，请点采纳 ``` #include double p(int n) { double sum = 1; for (int i = 1; i <= n; i++
linux C/C++服务器后台开发面试题总结（编程语言篇）
2019-09-07 14:11

Linux高级开发的博客一、编程语言 1.根据熟悉的语言，谈谈两种语言的区别？主要浅谈下C/C++和PHP语言的区别: 1)PHP弱类型语言，一种脚本语言，对数据的类型不要求过多，较多的应用于Web应用开发，现在好多互联网开发公司的主流web...
【Linux系统编程】Linux开发环境下C/C++编译和调试知识总结
2022-07-22 10:53

Beyon.sir的博客使用C/C++在Linux环境下进行编程时，需要理解和掌握C/C++的编译流程及原理和调试的方法，以及Makefile和库文件的含义和制作方法。
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 10月10日

悬赏问题

¥15 求解O-S方程的特征值问题给出边界层布拉休斯平行流的中性曲线
¥15 谁有desed数据集呀
¥20 手写数字识别运行c仿真时，程序报错错误代码sim211-100
¥15 关于#hadoop#的问题
¥15 (标签-Python|关键词-socket)
¥15 keil里为什么main.c定义的函数在it.c调用不了
¥50 切换TabTip键盘的输入法
¥15 可否在不同线程中调用封装数据库操作的类
¥15 微带串馈天线阵列每个阵元宽度计算
¥15 keil的map文件中Image component sizes各项意思

C/C++ 64位断链隐藏DLL？

1条回答 默认 最新

问题事件

悬赏问题

1条回答默认最新