Скрытие DLL от Frosta

Dimedrol1536 · 17.02.2012, 23:10

Код:

void  EraseHeaders(HINSTANCE hModule1)
{

	PIMAGE_DOS_HEADER pDoH; 
	PIMAGE_NT_HEADERS pNtH;
	DWORD i, ersize, protect;

	if (!hModule1) return;

	pDoH = (PIMAGE_DOS_HEADER)(hModule1);

	pNtH = (PIMAGE_NT_HEADERS)((LONG)hModule1 + ((PIMAGE_DOS_HEADER)hModule1)->e_lfanew);

	ersize = sizeof(IMAGE_DOS_HEADER);
	if ( VirtualProtect(pDoH, ersize, PAGE_READWRITE, &protect) )
	{
		for ( i=0; i < ersize; i++ )
				*(BYTE*)((BYTE*)pDoH + i) = 0;
	}

	ersize = sizeof(IMAGE_NT_HEADERS);
	if ( pNtH && VirtualProtect(pNtH, ersize, PAGE_READWRITE, &protect) )
	{
		for ( i=0; i < ersize; i++ )
				*(BYTE*)((BYTE*)pNtH + i) = 0;
	}
	return;
}

typedef struct _UNICODE_STRING 
{
	USHORT Length;
	USHORT MaximumLength;
	PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _ModuleInfoNode
{
	LIST_ENTRY LoadOrder;
	LIST_ENTRY InitOrder;
	LIST_ENTRY MemoryOrder;
	HMODULE baseAddress;
	unsigned long entryPoint;
	unsigned int size;
	UNICODE_STRING fullPath;
	UNICODE_STRING name;
	unsigned long flags;
	unsigned short LoadCount;
	unsigned short TlsIndex;
	LIST_ENTRY HashTable;
	unsigned long timestamp;
} ModuleInfoNode, *pModuleInfoNode;

typedef struct _ProcessModuleInfo
{
	unsigned int size;
	unsigned int initialized;
	HANDLE SsHandle;
	LIST_ENTRY LoadOrder;
	LIST_ENTRY InitOrder;
	LIST_ENTRY MemoryOrder;
} ProcessModuleInfo, *pProcessModuleInfo;

#define UNLINK(x) (x).Blink->Flink = (x).Flink; \
	(x).Flink->Blink = (x).Blink;

int HideModule( HMODULE hMod )
{
	ProcessModuleInfo *pmInfo;
	ModuleInfoNode *module;

	_asm
	{
		mov eax, fs:[18h]
		mov eax, [eax + 30h]
		mov eax, [eax + 0Ch] 
		mov pmInfo, eax
	}

	module = (ModuleInfoNode *)(pmInfo->LoadOrder.Flink);

	while(module->baseAddress && module->baseAddress != hMod){
		module = (ModuleInfoNode *)(module->LoadOrder.Flink);}

	if(!module->baseAddress){
		return 0;}

	UNLINK(module->LoadOrder);
	UNLINK(module->InitOrder);
	UNLINK(module->MemoryOrder);
	UNLINK(module->HashTable);
	memset(module->fullPath.Buffer, 0, module->fullPath.Length);
	memset(module, 0, sizeof(ModuleInfoNode));

	return 1;
}

DllMain

~~Ramzes_~~ · 17.02.2012, 23:37

а если вх на управление мышке там так же делать как на обычном исходнике или по другому?

Dimedrol1536 · 17.02.2012, 23:45

Ramzes_, также.

~~Ramzes_~~ · 17.02.2012, 23:50

на обычном исходнике всё получилось а на исходнике с мышкой свсавил только первый код я просто не могу найди там DllMain

**MANAX** · 17.02.2012, 23:56

Чем оно лучше этого

Код:

oid EraseHeaders(HINSTANCE hModule1)
{
PIMAGE_DOS_HEADER pDoH; 
PIMAGE_NT_HEADERS pNtH;
DWORD i,ersize,protect;
if(!hModule1)return;
pDoH=(PIMAGE_DOS_HEADER)(hModule1);
pNtH=(PIMAGE_NT_HEADERS)((LONG)hModule1+((PIMAGE_DOS_HEADER)hModule1)->e_lfanew);
ersize=sizeof(IMAGE_DOS_HEADER);
if(VirtualProtect(pDoH,ersize,PAGE_READWRITE,&protect))
{
for(i=0;i<ersize;i++)
*(BYTE*)((BYTE*)pDoH+i)=0;
}
ersize=sizeof(IMAGE_NT_HEADERS);
if(pNtH&&VirtualProtect(pNtH,ersize,PAGE_READWRITE,&protect))
{
for(i=0;i<ersize;i++)
*(BYTE*)((BYTE*)pNtH+i)=0;
}
return;
}
typedef struct _UNICODE_STRING 
{
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
}
UNICODE_STRING,*PUNICODE_STRING;
typedef struct _ModuleInfoNode
{
LIST_ENTRY LoadOrder;
LIST_ENTRY InitOrder;
LIST_ENTRY MemoryOrder;
HMODULE baseAddress;
unsigned long entryPoint;
unsigned int size;
UNICODE_STRING fullPath;
UNICODE_STRING name;
unsigned long flags;
unsigned short LoadCount;
unsigned short TlsIndex;
LIST_ENTRY HashTable;
unsigned long timestamp;
}
ModuleInfoNode,*pModuleInfoNode;
typedef struct _ProcessModuleInfo
{
unsigned int size;
unsigned int initialized;
HANDLE SsHandle;
LIST_ENTRY LoadOrder;
LIST_ENTRY InitOrder;
LIST_ENTRY MemoryOrder;
}
ProcessModuleInfo,*pProcessModuleInfo;
#define UNLINK(x)(x).Blink->Flink=(x).Flink;\
(x).Flink->Blink=(x).Blink;
int HideModule(HMODULE hModule)
{
ProcessModuleInfo*pmInfo;
ModuleInfoNode*module;
_asm
{
mov eax,fs:[18h]
mov eax,[eax+30h]
mov eax,[eax+0Ch]
mov pmInfo,eax
}
module=(ModuleInfoNode*)(pmInfo->LoadOrder.Flink);
while(module->baseAddress&&module->baseAddress!=hModule)
{
module=(ModuleInfoNode*)(module->LoadOrder.Flink);
}
if(!module->baseAddress)
{
return 0;
}
UNLINK(module->LoadOrder);
UNLINK(module->InitOrder);
UNLINK(module->MemoryOrder);
UNLINK(module->HashTable);
memset(module->fullPath.Buffer,0,module->fullPath.Length);
memset(module,0,sizeof(ModuleInfoNode));
return 1;
}

Код:

BOOL WINAPI DllMain ( HMODULE hDll, DWORD dwReason, LPVOID lpReserved )
{
if (dwReason==DLL_PROCESS_ATTACH) 
	{
        if(GetModuleHandleA("pointblank.exe")|| GetModuleHandleA("PointBlank.exe")|| GetModuleHandleA("PBlackout.exe")|| GetModuleHandleA("PB.exe"))
		       {
                  HideModule(hDll);
 {
						HANDLE hExitThread=CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)iDIRECT3D, NULL, NULL, NULL);
    CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)Pointer, NULL, NULL, NULL);}
{

**Skilful** · 18.02.2012, 00:10

Цитата:

Сообщение от Dimedrol1536(2)


	DisableThreadLibraryCalls(hDll);

Это не имеет отношение к скрытию.

Цитата:

Сообщение от **MANAX**


	Чем оно лучше этого

Тем что в 1 посте лучше.

Точнее оно правильней.
+ ты предоставил не весь код.

Dimedrol1536 · 18.02.2012, 03:21

Цитата:

Сообщение от RChester


	Нафиг?

Что-бы ты спросил)

Цитата:

Сообщение от **MANAX**


	oid EraseHeaders(HINSTANCE hModule1)

У тебя написано oid)

Цитата:

Сообщение от overlord_10


	DisableThreadLibraryCalls(hDll);

Да, к скрытию отношения 0, но всёже пусть будет)

andrey77796_ · 18.02.2012, 04:09

Что делать если нет такой переменной: StartHookpDevice

Я заменил StartHookpDevice на StartHookFrost и при инжете выдаёт ошибку

CrismO · 18.02.2012, 08:30

vuti, неее я понял а именно куда в конец?или там середина
это обязательно?BOOL WINAPI DllMain(HMODULE hDll, DWORD dwReason, LPVOID lpReserved)
{
if (dwReason==DLL_PROCESS_ATTACH)
{
DisableThreadLibraryCalls(hDll);
EraseHeaders(hDll);
HideModule(hDll);
CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)Sta rtHookpDevice,NULL,NULL,NULL);
}
return TRUE;
}
ато у мя стива приватка там некуда вставить

~~.:InSiDe:.~~ · 18.02.2012, 09:49

Dimedrol1536(2), а чем оно отличается от Cloaking?

**Skilful** · 18.02.2012, 10:01

Цитата:

Сообщение от andrey77796_


	Что делать если нет такой переменной: StartHookpDevice Я заменил StartHookpDevice на StartHookFrost и при инжете выдаёт ошибку

это не переменная, а функция.
Нажимаешь Ctrl+F выбираешь вкладку "заменить". И вводишь StartHookpDevice, а на заменить на StartHookFrost и нажимаешь "заменить все".
Можно и в ручную, просто поменять название самой функции и активацию этой функции в дллмайн

Цитата:

Сообщение от .:InSiDe:.


	Dimedrol1536(2), а чем оно отличается от Cloaking?

тем, что варлок предоставил код в грязном виде (он так специально, для того, что бы юзеры сами делали), а этот код почищен от лишних функций. Короче он лучше

Dimedrol1536 · 18.02.2012, 11:19

Цитата:

Сообщение от Тигрь


	Я бы не сказал что этот код скроет DLL от фроста

Скрывает веть)

~~Ramzes_~~ · 18.02.2012, 22:21

Сделал всё как надо при инжекте вх не крашит но и само вх не открывается! в чём ошибка?

~~Ramzes_~~ · 19.02.2012, 10:50

я создал hide.h и туда вставил первый код потом саменил ДиМаин
кнопки не редактировал пробовал на многих исходниках всё тоже самое!
даже если кнопки и отредоктировались(это не возможно я вообще туда не заходил) я всё перенажимал на клаве и не фига!

**Skilful** · 19.02.2012, 11:32

Цитата:

Сообщение от Ramzes_


	я создал hide.h и туда вставил первый код потом саменил ДиМаин кнопки не редактировал пробовал на многих исходниках всё тоже самое! даже если кнопки и отредоктировались(это не возможно я вообще туда не заходил) я всё перенажимал на клаве и не фига!

Может Вх вообще не заинжектилось?

смотри тему >>> Если не заинжектилось длл <<<

Скрытие DLL от Frosta

Разработка ПО для Point Blank