API HOOK远程卸载方法

最新推荐文章于 2022-11-23 15:25:23 发布
最新推荐文章于 2022-11-23 15:25:23 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qyuewei/article/details/37961529
版权

远程卸载的方法主要是在注入的基础上进行,主要区别在写入内存后干的事情不同,注入的代码在我上一篇文章中又写到,下面我们只讨论不同的地方,废话不多说上代码:

#include <Windows.h>
#include <tchar.h>
void main()
{
	TCHAR dllstr[MAX_PATH] = _T("dlltest.dll");
	HANDLE hprocess;
	hprocess = OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE, FALSE,7104);
	LPVOID lpbuf;
	lpbuf = VirtualAllocEx(hprocess,NULL,sizeof(dllstr),MEM_COMMIT,PAGE_READWRITE);
	if(lpbuf==NULL)
	{
		VirtualFreeEx(hprocess,NULL,sizeof(dllstr),MEM_DECOMMIT);
		CloseHandle(hprocess);
		return;
	}
	WriteProcessMemory(hprocess,lpbuf,(LPVOID)dllstr,sizeof(dllstr),0);
	while(1)
	{
		HANDLE thread = CreateRemoteThread(hprocess,NULL,0,(LPTHREAD_START_ROUTINE)GetModuleHandle,lpbuf,0,0);
		WaitForSingleObject(thread,INFINITE);
		DWORD hdll;
 		GetExitCodeThread(thread,&hdll);//hdll存储指定线程的返回值
		if(!hdll)
		{
			VirtualFreeEx(hprocess,lpbuf,sizeof(dllstr),MEM_RELEASE);
			CloseHandle(hprocess);
			CloseHandle(thread);
			return;
		}
		thread = CreateRemoteThread(hprocess,NULL,0,(LPTHREAD_START_ROUTINE)FreeLibrary,(LPVOID)hdll,0,0);
		WaitForSingleObject(thread,INFINITE);

		DWORD exit;
		GetExitCodeThread(thread,&exit);
		if(!exit)
		{
			VirtualFreeEx(hprocess,lpbuf,sizeof(dllstr),MEM_DECOMMIT);
			CloseHandle(hprocess);
			CloseHandle(thread);
			return;
		}

	}
	
	return;
}

在写入后,创建远程线程,CreateRemoteThread函数的第4个参数是已经加载到调用者进程空间中的模块句柄的地址,然后判断线程是否结束。

然后再一次调用CreateRemoteThread函数进行释放模块第4个参数为FreeLibrary,判断进程是否结束。

关闭句柄,进程,卸载结束。

源码下载地址:http://download.csdn.net/detail/qyuewei/7653067

carlZzzzzzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook钩子 卸载时和卸载
马娟的博客
03-02 1511
卸载时的操作 //即将卸载时的操作 <Prompt message={(location) => { if (resetModal) { resetModal.destroy(); } }} /> 卸载完成后的操作 //卸载完成后的操作 useEffect(() => { return componentDidUnmount; }, []); const componentDidUnmount
钩子编程(HOOK) 留后门与钩子卸载 (2)
机器学习
05-14 5868
[钩子编程(HOOK) 留后门与钩子卸载]根据前面几篇文章对进程内钩子有了个初步了解,本文继续谈及钩子卸载问题。一般编写钩子程序,我们希望程序一方面能屏蔽键盘鼠标消息,但又希望程序能留有一个“后门”,例如,按下F2退出程序。
远程注入的EasyHook
12-28
EasyHook使用中的一种特殊情况: 需要实现这样一个功能,截获打开文件(CreateFile)和获取文件大小(GetFileSize)函数,且在打开文件时需要获取文件的大小,即在HookCreateFile中同时使用CreateFile和GetFileSize。此时问题来了。CreateFile此时调用的是真实的API,而GetFileSize将会调用HookGetFileSize。如果存在更多的函数,必将导致问题。
zabbix_agentd卸载API
临江仙我亦是行人
04-30 213
zabbix_agentd 卸载 [@bjyf_43_77 test]$ cat zabbix_delete.sh #!/bin/bash Local_IP=$(ifconfig eth0|grep "\binet\b"|awk -F'[ :]+' '{print $(NF-4)}') ZABBIX_API="http://10.134.115.94/api_jsonrpc.php" CURL_REQ="curl -s -i -X POST -H 'Content-type:application/jso
Android 9(p)调系统卸载API卸载程序
suifengshanman的博客
07-04 1190
  今天需要弄一个调起系统卸载API,进行卸载程序的功能。直接上卸载代码 //创建Intent意图 Intent intent=new Intent(Intent.ACTION_DELETE); //通过程序的包名创建URL Uri packageURI= Uri.parse("package:".concat(packageName)); ...
APIHOOK远程注入与卸载的小工具源码
07-19
最近的学习成果,APIHOOK远程注入与卸载功能的小工具
apihook键盘钩子捕获键盘按键.zip
04-04
在本案例中,"apihook键盘钩子捕获键盘按键.zip"是一个包含两个文件(KeyHook、LaunchDLL)的压缩包,其核心目标是演示如何通过API Hook技术来捕获并记录用户在键盘上按下按键的事件。 首先,我们要理解API Hook的...
远程hook远程hook
03-30
在给定的压缩包文件中,"HOOK远程注入.e"可能是一个关于远程Hook技术的电子书或教程,详细介绍了远程Hook的操作步骤和相关技巧。而"HOOK.exe"可能是用于演示或测试远程Hook功能的可执行文件。通过学习这些资源,你...
vc++编写的 变速齿轮 来调节程序运行速度 (附源代码) 使用了API HOOK钩子技术
12-14
`APIHook`可能是源代码文件夹,其中包含了实现API Hook的源代码文件,可能包括`.cpp`(C++源代码文件)和`.h`(头文件)等。通过阅读这些源代码,我们可以深入理解API Hook的具体实现细节,如钩子函数的定义、钩子的...
易语言HookApi封包
05-29
易语言HookApi封包是一种在易语言编程环境中实现API钩子技术的方法,主要用于截取系统或应用程序中的特定函数调用,以便进行数据监控、调试或者其他高级功能。在本压缩包中,包含了源码、模块以及成品,使得用户可以...
EasyHook远程进程注入并hook api的实现
03-15
http://blog.csdn.net/v6543210/article/details/44276155 EasyHook远程进程注入并hook api的实的示例。
卸载远程进程中的DLL文件
12-13
很多病毒木马被写成了DLL格式,以插入到系统其他正常进程中,实现无进程,难以删除的目的,该工具可以搜索所有进程中是否含有指定的DLL文件,如果发现则强行卸载,对手工查杀病毒木马有帮助,代码简单
通用注入工具无驱版(HOOK注入、远程注入)(DELPHI源码)
08-26
很方便、很小巧的注入工具,(含HOOK注入、远程注入///DELPHI源码)
Hook远程注入
crkres9527
08-12 1196
// InjectDemo.cpp: 定义控制台应用程序的入口点。 // #include "stdafx.h" #include&lt;Windows.h&gt; int main(int argc,char* argv[]) {         BOOL bRet = FALSE;     HANDLE hProcess = INVALID_HANDLE_VALUE;     BYTE* ...
关于HOOK的一些安装卸载说明以及消息类型说明
小S资料屋
02-28 587
HOOK的概念 1:HOOK总的来说是windows处理消息的一个机制,通过它可以进行消息的截获,可以用在比较底层的一些开发 HOOK必须使用下面的语句: LRESULT CALLBACK HookProc ( int nCode, WPARAM wParam, LPARAM lParam ); HOOKProc是定义函数的名称 nC...
DLL注入与卸载(用于hook api)
Yvan Jiang的专栏
08-04 1278
DLL注入与卸载 代码参考网上,最后做个小工具可以加载dll并注入到目标进程 1、判断系统版本,winxp win7 win vista win10 DWORD checkOS() { OSVERSIONINFO os_version; os_version.dwOSVersionInfoSize = sizeof(os_version); if (GetVersionEx(&os_version)) { if (os_version.dwMajorVersion == 5) {
反病毒工具之注册表监视器
热门推荐
chenhui530的专栏
01-31 1万+
本程序实现了ring3下的注册表监管工作.由VB+VC实现.功能和瑞星的注册表监视非常类似,如下图:目前只监视了启动项.VC DLL下载地址是:http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/RegistryInfo.bmp代码先公布VB部分源码,等整理后再给出VC部分的源码:frmRegMonitor.frmV
03-React-Hook
zhangjun133133的博客
11-23 916
Hook 是一些可以让你在函数组件里“钩入” React state 及生命周期等特性的函数。Hook 不能在 class 组件中使用。
大数据处理框架:Flink:FlinkSQL入门与实践.docx
最新发布
09-02
大数据处理框架:Flink:FlinkSQL入门与实践.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值