进程中dll模块的隐藏.docxVIP

进程中dll模块的隐藏????????为了避免自己的某个dll模块被别人检测出来，有时候希望在自己加载一个dll之后，或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息，使得Toolhelp、psapi等枚举模块的API无法枚举它。????????我们可以先简单看看Windows枚举进程内模块的办法吧：????????首先是BOOL?EnumProcessModules(?HANDLE?hProcess,?HMODULE*?lphModule,?DWORD?cb,?LPDWORD?lpcbNeeded);????????EnumProcessModules实际调用EnumProcessModulesInternal进行枚举。下面是vista下psapi的代码片断：.text:514024B8?????????????????push????ebx.text:514024B9?????????????????push????18h.text:514024BB?????????????????lea?????eax,?[ebp+stProcessBasicInfo].text:514024BE?????????????????push????eax.text:514024BF?????????????????push????ebx??;ebx=0.te