如何在不结束进程的情况下卸载该进程中的dll模块

最新推荐文章于 2020-11-24 05:27:49 发布
最新推荐文章于 2020-11-24 05:27:49 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 安全 黑客 文章标签: dll null thread token

如何在不结束进程的情况下卸载该进程中的dll模块
EnablePrivilege(HANDLE hToken, LPCSTR szPrivName)
{

TOKEN_PRIVILEGES tkp;

LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限
tkp.PrivilegeCount=1;
tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限

return( (GetLastError()==ERROR_SUCCESS) );
}

BOOL UnloadDll(DWORD dwPid, CString strDllName)
{
//获取宿主进程的句柄,注意那几个参数,不然会出错
HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD |     /
                              PROCESS_VM_OPERATION    |     /
            PROCESS_VM_WRITE,
            FALSE, dwPid);
if(hProcess == NULL){
    ::MessageBox(NULL, "无法获取进程句柄", "错误", MB_OK | MB_ICONERROR);
    return FALSE;
}

DWORD     dwSize = 0;
DWORD     dwWritten = 0;
DWORD     dwHandle = 0;
          
dwSize = strDllName.GetLength() + 1;//dll的全路径名的长度,待会分配内存要用到的

//向宿主进程分配内存,返回一个指针
LPVOID lpBuf = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

//如果在宿主进程空间写失败就直接报错闪人
if( !WriteProcessMemory(hProcess, lpBuf, (LPVOID)strDllName.GetBuffer(dwSize), dwSize, &dwWritten)){   
    VirtualFreeEx(hProcess, lpBuf, dwSize, MEM_DECOMMIT);
    CloseHandle(hProcess);
    MessageBox(NULL, "在目标进程中写入失败", "错误", MB_OK | MB_ICONERROR);
    return FALSE;
}

//获取GetModuleHandleA函数地址
LPVOID pFun = GetProcAddress(GetModuleHandle("Kernel32"), "GetModuleHandleA");

//在宿主进程中创建一个远程线程,线程函数为上面导出的GetModuleHandleA,参数为lpBuf指针,还
//记得我们获取的dll全路径不
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFun,
                                          lpBuf, 0, NULL);
    //如果创建线程失败,直接报错闪人
if(hThread == NULL){
    CloseHandle(hProcess);
    ::MessageBox(NULL, "在目标进程创建远程线程失败", "错误", MB_OK | MB_ICONERROR);
          return FALSE;
}

//     等待GetModuleHandle运行完毕   
WaitForSingleObject(hThread, INFINITE);
//     获得GetModuleHandle的返回值   
GetExitCodeThread(hThread, &dwHandle);

//     释放目标进程中申请的空间   
VirtualFreeEx(hProcess, lpBuf, dwSize, MEM_DECOMMIT);
CloseHandle(hThread);

//     使目标进程调用FreeLibraryAndExit,卸载DLL,实际也可以用FreeLibrary,但是我发现前者好一点
pFun = GetProcAddress(GetModuleHandle("Kernel32"), "FreeLibraryAndExitThread");
hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFun,
                             (LPVOID)dwHandle, 0, NULL);   
//     等待FreeLibraryAndExitThread执行完毕   
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hThread);
CloseHandle(hProcess);

return TRUE;    //操作成功


 
艾伦之家
关注
专栏目录
dll进程模块列表移除并保持正常运行
10-14 1012
 将dll进程模块列表移除并保持正常运行,这玩意想想是挺简单,n久前byshell就用了,简单的思路就是给当前的dll内存映像做份拷贝,然后跳到那份拷贝的地址空间的代码,回头free掉原来的dll,然后马上用VirtualAlloc在原基址上申请块同样大小的空间,并将那份拷贝还原回去,再跳回去执行。完。代码写完后再实际程序应用后发现问题,一旦调用到malloc或new的话就会
教你如何卸载被注入到进程dll
04-04
RemoteDLL dllinject教你如何卸载被注入到进程dll
卸载其他进程dll模块
cqyczj的专栏
04-15 956
啥也不说了,贴代码: [cpp] view plaincopyprint? #include "stdafx.h"   #define MAX_MODULE_NAME_LEN 16   // 传入到远程线程的参数结构定义   typedef struct tagThreadParam    {       DWORD dwFreeLibr
强制卸载目标进程模块
天道酬勤
03-08 3653
代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。 注:强制卸载可能导致目标进程崩溃。 哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll。 下面是代码: class ForceQuit { public: bool EnablePriv() {
易语言结束进程DLL
07-21
易语言结束进程DLL源码,结束进程DLL,提升进程权限,列表,表项,取模块路径,列调用的模块,结束进程DLL,Module32First,ExtractIconA,打开进程,获取线程,打开令牌,恢复权限,获取令牌特权,CreateToolhelp32...
易语言DLL卸载
07-21
易语言DLL卸载是一种编程技术,主要用于动态链接库(DLL)在完成其功能后自动从内存卸载。在Windows操作系统DLL文件被广泛使用,它们提供可重用的代码和数据,多个程序可以共享同一份资源,从而节省系统资源...
unload_dll:从正在运行的进程卸载DLL。-开源
05-08
《unload_dll:从运行进程卸载DLL的开源实践》 在Windows操作系统,动态链接库(Dynamic Link Library,简称DLL)是一种重要的共享代码资源,它允许多个程序共享同一段代码,节省内存并方便代码更新。然而,有时...
结束进程DLL-易语言
06-13
"结束进程DLL.e"很可能是易语言编写的源码文件,用户可以通过学习和运行这个程序,了解如何在实际操作结束使用特定DLL进程。 需要注意的是,操作进程DLL需要相应的权限,通常需要以管理员权限运行程序。...
卸载掉指定进程的指定模块
AKe's blog
11-06 1324
//卸载掉指定进程的指定模块,一般用来清除DLL木马////注://1,对于多次调用了LoadLibrary的进程,需要多次调用该函数才能够保证从该进程完全卸载//2,只有进程创建后动态载入的DLL调用该函数才能够达到效果(如果指定进程的引入表包含了欲卸载模块,调用虽然能够成功,但是该模块的函数资源等仍然有效。)。////参数://Pid: 进程ID//Module: 模块名////返回值;
注入钩子 安全卸载进程模块 UM(含源码)
11-21
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
结束进程卸载关键进程DLL文件的方法
xiuzhentianting的博客
09-15 3716
问题关键就是所插入的进程不能被终止  许多木马注入到系统里关键进程,比如svchost.exe、smss.exe、winlogon.exe进程。这些进程使用普通方式无法结束,使用特殊工具结束进程后,却又很可能造成系统崩溃无法正常运行的情况。对于这些木马,我们可以通过以下两种方法进行清除。    1.使用IceSword卸载DLL文件      IceSword的功能十分强大,我们
卸载远端进程模块(张佩)
张佩的技术库
03-24 2413
         卸载远端进程模块(张佩)    我看到了很多用创建远端线程的方法注入dll的文章,内容大同小异。但奇怪的是,没有一篇文章介绍如何把注入的远端线程卸载掉的方法。为了实践自己的好奇心,我试着实现了一下,使用的是类似注入dll的方法。    1.首先我想到调用什么API卸载DLL。我想到用遍历IAT的方法,找到唯一的dll名字,然后将它隐藏。我虽然没有实际去做,但我立刻就意识到了此方
卸载进程模块(修改版)
nicholasmaxwell的专栏
05-17 1552
/*卸载其他进程dll加入了权限提升,并改为直接用进程名,这样也方便一点freedll.exe explorer.exe adson.dll============还没有解决:卸载模块成功后,宿主进程可能过会儿会发生异常,有待下会解决,郁闷! --------------------------------------------------------------*/#includ
进程空间卸载模块的方法
haart的专栏
10-31 1104
<br />从进程卸载模块有两种方法<br />1.<br /> <br />/************************************************************************************* 程序作用: 用 NtUnmapViewOfSection 来卸载DLL。测试成功! 程序原理: 程序作者: wyART 代码日期: 2009-12-01 修改日期: 2009-12-01 ***************************
学习笔记之卸载远程目标进程DLL模块(转)
weixin_30868855的博客
04-30 248
学习笔记之卸载远程目标进程DLL模块(2007-07-23 23:51:02)转载▼学习笔记之卸载远程目标进程DLL模块2007/7/231.首先得把DLL模块的线程结束使用CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);创建系统线程的快照然后用Thread32First()和Thread32Next()遍历系统所有线程.将遍历到的线程保存...
linux命令之netstat
清扬叶
03-18 200
netstat命令各个参数说明如下: -a 或–all 显示所有连线的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线的相关地址。 -c 或–continuous 持续列出网络状态...
易语言强制卸载进程模块_Linux D 状态的进程与平均负载
weixin_39969953的博客
11-24 220
这篇文章聊聊 Linux D 状态的进程与平均负载的关系,通过阅读本文,你会了解到这些东西。D 状态的进程是什么如何编写内核模块模拟 D 状态进程Linus 对 D 状态进程的看法平均负载的概念在 top 和 uptime 命令输出的第一行有一个 load average 字段,由三个数字表示,依次表示过去 1 分钟、5 分钟、15 分钟的平均负载(Load Average),如下图所示。值...
如何卸载其它进程加载的指定DLL
tnswy的专栏
04-16 1025
如何卸载其它进程加载的指定DLL2008-02-17 12:46#include void __fastcall UnLoadDll(String str_proce, String str_dllname) { AnsiString tmpstr=""; PROCESSENTRY32 pinfo; pinfo.dwSize = sizeof(pinfo); DWORD
易语言进程管理模块源码解析与应用
3. 进程内存读写:在进程安全的情况下,读取和修改指定进程的内存数据。 4. 进程模块管理:获取进程所加载的模块DLL)信息,或者动态加载、卸载模块。 5. 进程优先级调整:设置进程的优先级,以改变进程的执行顺序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值