Dllhide

Jednoduchý prográmek Dllhide demonstruje, jak lze manipulací s obsahem Bloku prostředí procesu (Process Environment Block – PEB) změnit či úplně skrýt informace o tom, které knihovny DLL cílový proces používá.

Program nejprve najde strukturu LDR_DATA_TABLE_ENTRY reprezentující jeho hlavní modul (soubor dllhide.exe) a skryje ji ze seznamu modulů. Následně čeká na libovolný vstup (resp. libovolnou klávesu) a ukončí se. Během tohoto čekání se můžete například pomocí aplikace ListDll přesvědčit, že hlavní modul programu je opravdu skryt. Metody –peb a –toolhelp by měly selhat.

Program nefunguje správně, je-li spuštěn pod emulací WOW64. V takovém případě skryje údaje o svém hlavním modulu pouze z jedné struktury PEB. I to by však mělo být patrné na výpisu aplikace ListDll

Zajímavé je přitom zejména to, že program Dllhide je schopen ošálit knihovnu Tool Help Library. Na knihovnu PSAPI by měl fungovat úplně stejný trik, protože je založena na podobné bázi.

Poznámka: Knihovny PSAPI a Tool Help Library plní v podstatě tytéž úkoly. Důvod tohoto “dublování” je čistě historický. Knihovna Tool Help Library se původně vyskytovala pouze na Windows 9x/Me, kdežto rozhraní modulu PSAPI bylo přístupné pouze na Windows NT. Windows 2000 již v sobě obsahuje obě knihovny.

Systém Verze kernelu
Windows XP 32bit 5.1.2600
Windows XP 64bit *
Windows Server 2003 R2 32bit *
Windows Server 2003 R2 64bit *
Windows Vista 32bit *
Windows Vista 64bit *
Windows 7 32bit *
Windows 7 64bit *

Stáhnout

Leave a Reply

Your email address will not be published. Required fields are marked *