1.模块隐藏之断链
- TEB它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB.
MOV eax,fs:[0]
2. PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB;
MOV eax,fs:[0x30]
mov PEB,eax
3.TEB与PEB都在用户空间
可以防止API查找进程的,但是不能防止VAD树内存检索
3.VAD树隐藏
4.最好的隐藏 :无模块注入,也就是代码注入
1.模块隐藏之断链
MOV eax,fs:[0]
2. PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB;
MOV eax,fs:[0x30]
mov PEB,eax
3.TEB与PEB都在用户空间
可以防止API查找进程的,但是不能防止VAD树内存检索
3.VAD树隐藏
4.最好的隐藏 :无模块注入,也就是代码注入