远程线程注入和卸载DLL

最新推荐文章于 2021-07-14 16:27:04 发布
最新推荐文章于 2021-07-14 16:27:04 发布
阅读量2k 收藏 1
点赞数
文章标签: 远程线程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacode/article/details/4601331
版权
######################################################################## 
/*
* 在远程进程中搜索模块句柄
*/
HMODULE FindRemoteMod(HANDLE hProcess, const wchar_t * pszModShortName)
{ 
    HMODULE _hModules [0x100] = {0};
    int _cbNeeded = 0; 
    if (!EnumProcessModules(hProcess
                    , _hModules
                    , sizeof(_hModules)
                    , (unsigned long *)&_cbNeeded)) 
        return (HMODULE)0;
        
    for (int _i = 0; _i < (_cbNeeded >>2); _i ++) 
    { 
        wchar_t _szModuleName [0x200] = {0}; 
        GetModuleBaseNameW(hProcess
                    , _hModules[_i]
                    , _szModuleName
                    , sizeof(_szModuleName)/sizeof(_szModuleName[0]));
    
        if (!wcsicmp(_szModuleName, pszModShortName)) 
            return _hModules[_i]; 
    } 
    return (HMODULE)0;
}

########################################################################

/*
* 卸载远程dll
*/
BOOL UnloadDll(unsigned long pid, const wchar_t * dllname)
{ 
    // 打开进程,具备写入权限和创建线程权限 
    HANDLE hProcess = OpenProcess(PROCESS_VM_READ 
                        | PROCESS_VM_WRITE 
                        | PROCESS_VM_OPERATION 
                        | PROCESS_SUSPEND_RESUME 
                        | PROCESS_CREATE_THREAD 
                        | PROCESS_QUERY_INFORMATION
                        , FALSE
                        , pid); 
    if (NULL == hProcess) 
        return FALSE; 

    // 检查是否是同一个用户会话中的进程
    HANDLE _hToken = INVALID_HANDLE_VALUE; 
    if (!OpenProcessToken(hProcess, TOKEN_READ, &_hToken)) 
    {
        CloseHandle(hProcess);
        return FALSE; 
    } 
    CloseHandle(_hToken); 
    
    HMODULE _hDllModule = CheckDllLoaded(hProcess, dllname); 
    
    if (_hDllModule != 0) 
    { 
        // 以FreeLibrary为线程体创建线程,卸载目标进程中的特定DLL. 
        unsigned long _tid = 0; 
        CreateRemoteThread(hProcess
        , 0, 0
        , (LPTHREAD_START_ROUTINE)FreeLibrary
        , _hDllModule
        , 0
        , &_tid); 
    } 
    CloseHandle(hProcess); hProcess=0;
    return TRUE;
}

######################################################################## 

/*
* 加载dll到远程进程
*/
BOOL LoadDll(HANDLE hProcess, const wchar_t * dllpath)
{ 
    // 计算路径长度,分配远程进程空间内虚拟内存
    DWORD dwRemoteBufLength = (wcslen(dllpath)+1)*sizeof(wchar_t); 
    
    // 在目标进程中分配一点空间来存放LoadLibraryW的参数     
    wchar_t * _pBuf =(wchar_t * )VirtualAllocEx(hProcess
                                            , NULL
                                            , dwRemoteBufLength
                                            , MEM_COMMIT
                                            , PAGE_READWRITE); 
    if(!_pBuf) 
        return FALSE; 
    
    // 把dll的全路径写入到远程进程地址空间
    if(!(WriteProcessMemory(hProcess
                        ,_pBuf
                        ,(PVOID)dllpath
                        ,dwRemoteBufLength
                        ,NULL)))
        return FALSE;        

    // 以LoadLibraryW为线程体来创建远程线程
    HANDLE _hThread = CreateRemoteThread(hProcess
                            , NULL
                            , 0
                            , (PTHREAD_START_ROUTINE)(LoadLibraryW)
                            , (PVOID)_pBuf
                            , 0
                            , NULL); 
    // 内存泄漏?! 
    return (_hThread != INVALID_HANDLE_VALUE);
}




开心乐源
关注
初学C++ 远程线程注入DLL卸载
yjwffgip456的专栏
09-05 1894
//提升权限 void DebugPrivilege() {  HANDLE hToken = NULL;  //打开当前进程的访问令牌  int hRet = OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS,&hToken);  if( hRet)  {   TOKEN_PRIVILEGES tp;   tp.Priv
DLL注入卸载
经典的误导的专栏
12-16 2728
DLL注入可用于编写外挂和病毒不易发现。 void CInjectDllToolDlg::StartInject(char *path, int pid) { int pathLen = strlen(path)+sizeof(char);//获取dll目录大小 HANDLE hPro = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (!
DLL远程注入卸载实现
a583911125的博客
08-30 187
实现win7 64位系统下dll远程注入卸载,尚未再其他系统测试 源码地址:https://github.com/ndhisrfzs/InjectDll 转载于:https://www.cnblogs.com/ruofengzhishang/p/3946680.html...
DLL卸载(创建远程线程卸载强制注入dll)
m0_51713041的博客
04-13 1206
DLL卸载 实际上我觉得应该改名叫:创建远程线程卸载强制注入dll 一:工作原理 驱使目标进程调用FreeLibrary() API,和CreateRemoteThread() API来创建远程线程从而实现dll注入的方法类似,这个也是将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并将要卸载DLL的句柄传递给lpParameter参数。 注:每个windows内核对象都拥有一个引用计数,代表对象被使用的次数。每调用一个Load
远程注入卸载DLL
`小明湖畔.。のBlog
02-18 543
//提升本进程权限 BOOL GetPrivilege() { HANDLE tokenHandle; BOOL bRet = OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &tokenHandle); if (bRet){ TOKEN_PRIVILEGES tokenPri; tokenPri.PrivilegeCo
一文带你实现远程线程注入卸载
m0_58554082的博客
07-14 698
1. 原理 主要通过API:CreateRemoteThread 来进行远程线程注入 2.远程线程注入Dll的步骤 1.通过进程Id打开指定的进程 2.在指定的进程,分配一段大小为要导入的dll文件名长度的一段内存空间,将dll的文件名写入到分配的内存中。 3.获取目的进程中的loadLibrary的函数地址。 4.创建远程线程,通过上一步获得的loadlibrary函数进行dll导入。 5.释放内存,卸载dll。 3.代码远程注入注意点 1.不能调用除kernel32和user32之外动态库中的
易语言线程EIP注入卸载DLL源码
06-03
【易语言线程EIP注入卸载DLL源码】是一个涉及计算机编程技术的主题,主要针对易语言(EasyLanguage)和Windows系统下动态链接库(DLL)的管理。易语言是一种面向对象、简单易学的中文编程语言,而线程EIP注入是...
代码注入.exe 快速注入卸载dll
最新发布
12-07
代码注入.exe 1. 快速注入卸载dll 2. 窗口查找定位进程 3. 支持汇编远程线程注入
VB远程DLL注入卸载及自我删除
05-07
VB中实现DLL注入,通常需要使用API调用来创建远程线程,并将DLL路径传递给`LoadLibrary`或`GetProcAddress`等函数。 3. **远程线程创建**:在VB中,利用`CreateThread`或`QueueUserAPC`等API函数可以在远程进程中...
易语言远程线程注入DLL呼出
08-24
易语言远程线程注入DLL呼出 注入进程 全部的完整源码
易语言远程DLL注入
07-22
易语言远程DLL注入源码,远程DLL注入,HookAPI,UnHookAPI,new_MoveWindow,HOOKAPI,ChangeAPIFristAddress,GetModuleHandle,GetProcAddress,VirtualQueryEx,VirtualProtectEx,WriteProcessMemory,GetCurrentProcess,SetWindowText,OpenProcess
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流 QQ:22353017
卸载远程进程中的DLL文件
12-13
很多病毒木马被写成了DLL格式,以插入到系统其他正常进程中,实现无进程,难以删除的目的,该工具可以搜索所有进程中是否含有指定的DLL文件,如果发现则强行卸载,对手工查杀病毒木马有帮助,代码简单
易语言简单注入DLL源码
06-03
易语言简单注入DLL源码。@易语言源码分享站。
DLL远程注入远程卸载卸载
qq_40535097的博客
05-19 2069
DLL远程注入远程卸载卸载 涉及Windows API FindWindow GetWindowThreadProcessId OpenProcess VirtualAlloc WriteProcessMemory CreateRemoteThread WaitForSingleObject 有时候修改目标程序,如制作插件,补丁,外挂等,需要使用到DLL注入的操作,注入的方式主要有远程注入、劫持注入、HOOK方式、内存注入等,这里主要说一下远程注入以及远程卸载 远程注入 什么是远程注入远程注入
远程线程注入卸载 修改版
新手学编程
01-22 1018
#include //快照需要的头文件 //快照判断进程是否已经注入 BOOL InjectModuleInto(DWORD dwProcessId) { BOOL bFound = NULL; HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEENTRY32 me32; hModuleSnap = CreateT
DLL线程卸载dll模块基础
qq_39544982的博客
07-19 423
基于远线程注入后如何卸载残留的dll 在进行远线程注入后会有残留的dll在exe文件进程中,一旦扫描则会暴露使用第三方,所以。 #include <iostream> #include <Window.h> void UnInject(int pid,char* Path) { // 打开需要注入的进程,成功则返回进程的句柄,失败则返回NULL;第一个参数为获取当前进程...
易语言如何注入 c dll,易语言注入dll调用函数的方法
weixin_33189820的博客
05-19 1246
在我们的生活中那,怎么操作上述标题的小问题,小编今天就在这里给大家共享一点我的小体验,来增加我们的经验,希望可以给你们带来帮助。1、首先这不是注入DLL,这是导入DLL函数进PE文件,这个过程需要一个工具LordPE,网上都有可以自己去下载。2我们知道一旦DLL函数被导入EXE文件的输入表,则EXE文件启动时会自动执行一遍该DLL的_启动子程序 函数,3、所以我们可以把需要执行的指令放在该函数里面...
VB远程线程注入卸载技术解析
在VB编程中,远程线程注入是一种高级技术,常用于软件开发、调试以及某些特殊应用,如外挂的制作。该技术允许一个进程(注入者)在另一个进程中创建一个新的线程,并执行由注入者提供的代码。这篇内容介绍了一种利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值