DLL远程注入与卸载

最新推荐文章于 2020-07-26 18:24:36 发布
最新推荐文章于 2020-07-26 18:24:36 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: DLL 文章标签: dll null thread module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/benny5609/article/details/1786910
版权

以下提供两个函数,分别用于向其它进程注入和卸载指定DLL模块。
支持Unicode编码。

  

#include <windows.h>
#include <tchar.h>
#include <tlhelp32.h>


/************************************************************************************************************
 * 函 数 名:InjectDll

 * 参    数:[in] const TCHAR* pszDllFile // Dll 文件名及路径
    [in] DWORD dwProcessId   // 目标进程 ID

 * 返 回 值:bool - 注入成功返回 true,注入失败则返回 false

 * 实现功能:向目标进程中注入一个指定 Dll 模块文件。
************************************************************************************************************/
bool InjectDll(const TCHAR* pszDllFile, DWORD dwProcessId)
{
 // 参数无效
 if (NULL == pszDllFile || 0 == ::_tcslen(pszDllFile))
 {
  return false;
 }

 // 指定 Dll 文件不存在
 if (-1 == _taccess(pszDllFile, 0))
 {
  return false;
 }

 HANDLE hProcess  = NULL;
 HANDLE hThread   = NULL;
 DWORD dwSize   = 0;
 TCHAR* pszRemoteBuf = NULL;
 LPTHREAD_START_ROUTINE lpThreadFun = NULL;

 // 获取目标进程句柄
 hProcess = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, dwProcessId);
 if (NULL == hProcess)
 {
  return false;
 }

 // 在目标进程中分配内存空间
 dwSize = (DWORD)::_tcslen(pszDllFile) + 1;
 pszRemoteBuf = (TCHAR*)::VirtualAllocEx(hProcess, NULL, dwSize * sizeof(TCHAR), MEM_COMMIT, PAGE_READWRITE);
 if (NULL == pszRemoteBuf)
 {
  ::CloseHandle(hProcess);
  return false;
 }

 // 在目标进程的内存空间中写入所需参数(模块名)
 if (FALSE == ::WriteProcessMemory(hProcess, pszRemoteBuf, (LPVOID)pszDllFile, dwSize * sizeof(TCHAR), NULL))
 {
  ::VirtualFreeEx(hProcess, pszRemoteBuf, dwSize, MEM_DECOMMIT);
  ::CloseHandle(hProcess);
  return false;
 }

 // 从 Kernel32.dll 中获取 LoadLibrary 函数地址
#ifdef _UNICODE
 lpThreadFun = (PTHREAD_START_ROUTINE)::GetProcAddress(::GetModuleHandle(_T("Kernel32")), "LoadLibraryW");
#else
 lpThreadFun = (PTHREAD_START_ROUTINE)::GetProcAddress(::GetModuleHandle(_T("Kernel32")), "LoadLibraryA");
#endif
 if (NULL == lpThreadFun)
 {
  ::VirtualFreeEx(hProcess, pszRemoteBuf, dwSize, MEM_DECOMMIT);
  ::CloseHandle(hProcess);
  return false;
 }

 // 创建远程线程调用 LoadLibrary
 hThread = ::CreateRemoteThread(hProcess, NULL, 0, lpThreadFun, pszRemoteBuf, 0, NULL);
 if (NULL == hThread)
 {
  ::VirtualFreeEx(hProcess, pszRemoteBuf, dwSize, MEM_DECOMMIT);
  ::CloseHandle(hProcess);
  return false;
 }

 // 等待远程线程结束
 ::WaitForSingleObject(hThread, INFINITE);

 // 清理
 ::VirtualFreeEx(hProcess, pszRemoteBuf, dwSize, MEM_DECOMMIT);
 ::CloseHandle(hThread);
 ::CloseHandle(hProcess);

 return true;
}


/************************************************************************************************************
 * 函 数 名:UnInjectDll

 * 参    数:[in] const TCHAR* pszDllFile // Dll 文件名及路径
    [in] DWORD dwProcessId   // 目标进程 ID

 * 返 回 值:bool - 卸载成功返回 true,卸载失败则返回 false

 * 实现功能:从目标进程中卸载一个指定 Dll 模块文件。
************************************************************************************************************/
bool UnInjectDll(const TCHAR* pszDllFile, DWORD dwProcessId)
{
 // 参数无效
 if (NULL == pszDllFile || 0 == ::_tcslen(pszDllFile))
 {
  return false;
 }

 HANDLE hModuleSnap = INVALID_HANDLE_VALUE;
 HANDLE hProcess = NULL;
 HANDLE hThread  = NULL;

 // 获取模块快照
 hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);
 if (INVALID_HANDLE_VALUE == hModuleSnap)
 {
  return false;
 }

 MODULEENTRY32 me32;
 memset(&me32, 0, sizeof(MODULEENTRY32));
 me32.dwSize = sizeof(MODULEENTRY32);

 // 开始遍历
 if(FALSE == ::Module32First(hModuleSnap, &me32))
 {
  ::CloseHandle(hModuleSnap);
  return false;
 }

 // 遍历查找指定模块
 bool isFound = false;
 do
 {
  isFound = (0 == ::_tcsicmp(me32.szModule, pszDllFile) || 0 == ::_tcsicmp(me32.szExePath, pszDllFile));
  if (isFound) // 找到指定模块
  {
   break;
  }
 } while (TRUE == ::Module32Next(hModuleSnap, &me32));

 ::CloseHandle(hModuleSnap);

 if (false == isFound)
 {
  return false;
 }

 // 获取目标进程句柄
 hProcess = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION, FALSE, dwProcessId);
 if (NULL == hProcess)
 {
  return false;
 }

 // 从 Kernel32.dll 中获取 FreeLibrary 函数地址
 LPTHREAD_START_ROUTINE lpThreadFun = (PTHREAD_START_ROUTINE)::GetProcAddress(::GetModuleHandle(_T("Kernel32")), "FreeLibrary");
 if (NULL == lpThreadFun)
 {
  ::CloseHandle(hProcess);
  return false;
 }

 // 创建远程线程调用 FreeLibrary
 hThread = ::CreateRemoteThread(hProcess, NULL, 0, lpThreadFun, me32.modBaseAddr /* 模块地址 */, 0, NULL);
 if (NULL == hThread)
 {
  ::CloseHandle(hProcess);
  return false;
 }

 // 等待远程线程结束
 ::WaitForSingleObject(hThread, INFINITE);

 // 清理
 ::CloseHandle(hThread);
 ::CloseHandle(hProcess);

 return true;
}
 

benny5609
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言DLL卸载
07-21
易语言DLL卸载源码,DLL卸载,Hello,Dll入口函数,zsxz,取自身模块句柄,卸载自身_
VB远程注入DLL卸载DLL的源程序
05-12
内容索引:VB源码,系统相关,DLL注入,卸载DLL 很多人说VB不能远程注入DLL,其实是错误的。VB其实也能象C++等其他语言一样轻松搞定,不信就看看这个代码。这个代码经过充分测试,包括系统进程都可以正常注入卸载,就...
易语言远程线程注入DLL到游戏
511遇见
12-09 8794
远程线程注入CreateRemoteThread通过获取注入目标进程的句柄,把我们的DLL注入到目标进程内存地址,远程线程的意思是另一个进程中的线程,并非远控的意思,也就是远程线程注入是指一个进程在另一个进程中创建线程的技术, 下面我们先看一下步骤: 1、获取游戏进程句柄,0表示不继承句柄 2、在远程进程中(游戏进程中)申请内存空间,用来存放模块路径 3、WriteProcessMemor...
易语言64位进程注入DLL
hzw320的博客
07-26 9425
今天就先来讲解下用易语言注入DLL到64位程序进程,由于windows的安全机制 现在程序分32位和64位, 导致一个问题的出现: 32位程序无法加载64位程序dll, 64位程序无法加载32位程序dll。 通俗点说就是: 在64位的windows系统中,一个64位进程不能加载一个32位dll,一个32位进程也不能加载一个64位dll。 易语言是个开发32位程序的东西,用它无法写64位dll,只能写32位dll,但是64位程序进程却无法加载32位dll文件。 那么这就尴尬了。。。。。。 那么既然易语言不能写
DLL 卸载自身
马说@CSDN
04-23 9463
原文链接:http://www.titilima.cn/show-547-1.html 今天的问题是:有没有可能让一个 DLL 自己卸载自己?这个问题可以分成两个部分:卸载一个 DLL卸载 DLL 的代码应该是放在 DLL之中的。当然,如果不考虑后果的话,这个代码并不难写,如下:#include HMODULE g_hDll = NULL;DW
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
远程注入DLL的检测与卸载方法研究
11-28
远程注入DLL的检测与卸载方法研究
VB远程DLL注入卸载及自我删除
05-07
内容索引:VB源码,系统相关,DLL,注入 VB远程注入DLL、并尝试卸载程序和自我删除,此为代码不是太多,放上来供参考,请不要用于非法途径,仅供学习研究。
dll注入卸载工具
03-15
完美实现dll远程注入卸载功能,可对被注入的进程进行选择
代码注入.exe 快速注入卸载dll
12-07
代码注入.exe 1. 快速注入卸载dll 2. 窗口查找定位进程 3. 支持汇编远程线程注入
DLL注入卸载
05-22
实现window系统下的DLL注入卸载
Dll注入卸载源码
06-14
Dll注入卸载,包括DLL动态库,DLL注入功能是完整的,卸载不份不完善,可以作为参考。
易语言DLL卸载源码-易语言
06-13
易语言DLL卸载源码
易语言远程DLL注入
07-22
易语言远程DLL注入源码,远程DLL注入,HookAPI,UnHookAPI,new_MoveWindow,HOOKAPI,ChangeAPIFristAddress,GetModuleHandle,GetProcAddress,VirtualQueryEx,VirtualProtectEx,WriteProcessMemory,GetCurrentProcess,SetWindowText,OpenProcess
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流 QQ:22353017
DLL远程注入远程卸载卸载
qq_40535097的博客
05-19 1746
DLL远程注入远程卸载卸载 涉及Windows API FindWindow GetWindowThreadProcessId OpenProcess VirtualAlloc WriteProcessMemory CreateRemoteThread WaitForSingleObject 有时候修改目标程序,如制作插件,补丁,外挂等,需要使用到DLL注入的操作,注入的方式主要有远程注入、劫持注入、HOOK方式、内存注入等,这里主要说一下远程注入以及远程卸载 远程注入 什么是远程注入远程注入
lib文件格式分析,以及从lib文件提取obj的思路和源码
benny5609的专栏
05-27 4735
最近在学习ida,有时候需要从lib文件里面提取sig,方便我们查看函数的名称。但是手工的办法只能一个个obj提取,虽然可以使用批处理,但是偶尔碰到错误的coff文件,还是需要人手工干预,所以写了这么一个小工具,顺带学习了一下lib文件的结构。lib文件最开头,由8个字符串开始,值为“!/n”。接下来由4个不同类型的区段组成(不是四个区段),依次排列下来是First Section(一个), Se
如何获知DLL中函数的参数
benny5609的专栏
09-13 3670
可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。现在使用W32DSM来具体说明:1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。2。看准该函数的入口,一般函数是以以下代码作为入口点的。push ebpmov ebp, esp...3。然后往下找到该函数的出口,一般函数出口有以下语
进程注入的三种方法
benny5609的专栏
09-13 3131
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 钩子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
delphi dlldll注入
最新发布
08-07
DLL注入是一种技术,它允许将DLL文件加载到正在运行的进程中,并使得该进程能够调用DLL中的函数和使用其中的数据。 在Delphi中实现DLL注入的方法有很多种。一种常见的方法是使用Windows API函数LoadLibrary和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值