模块隐藏

1.模块隐藏之断链

1. 　　TEB它记录的相关线程的信息，每一个线程都有自己的TEB，FS:[0]即是当前线程的TEB.

　　　　　　　　　　　　MOV eax,fs:[0]

　　   2.　　PEB存放进程信息，每个进程都有自己的PEB信息，TEB偏移0x30即当前进程的PEB;

　　　　　　　　　　　　MOV eax,fs:[0x30]

　　　　　　　　　　　　mov PEB,eax

　　　3.TEB与PEB都在用户空间

可以防止API查找进程的，但是不能防止VAD树内存检索

 

3.VAD树隐藏

4.最好的隐藏 ：无模块注入，也就是代码注入