卸载远端进程模块(张佩)

最新推荐文章于 2021-07-14 16:27:04 发布
最新推荐文章于 2021-07-14 16:27:04 发布
阅读量2.4k 收藏
点赞数
文章标签: null module dll winapi structure list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blog_index/article/details/2212778
版权
         卸载远端进程的模块(张佩)
    我看到了很多用创建远端线程的方法注入dll的文章,内容大同小异。但奇怪的是,没有一篇文章介绍如何把注入的远端线程卸载掉的方法。为了实践自己的好奇心,我试着实现了一下,使用的是类似注入dll的方法。
    1.首先我想到调用什么API卸载DLL。我想到用遍历IAT的方法,找到唯一的dll名字,然后将它隐藏。我虽然没有实际去做,但我立刻就意识到了此方法的缺点:只是修改了IAT,而没有真正地卸载,因为我还不知道实现卸载的技术细节。后来我想到用FreeLibrary函数。其实看到注入过程使用了LoadLibrary函数,应该条件反应地想到用FreeLibrary。但我并没有第一反应地想到它。
    2.实现方法:创建远端线程。
    好了,来看看FreeLibrary这个函数吧,很幸运我可以用它来作为远端线程的回调函数,看看它的声明是怎样的:
    BOOL FreeLibrary(HMODULE hModule);
    如果要想成为远端线程的回调函数,其声明格式应该是这样的:
    DWORD WINAPI ThreadProc(LPVOID lpParameter);
    LPVOID可以强转成HMODULE句柄,DWORD也可以强转成BOOL型变量。所以FreeLibrary是可以作为远端线程的回调函数的。FreeLibrary需要一个参数,HMODULE句柄。为了得到这个句柄,必须遍历进程的句柄列表。

// 传入指定进程的进程ID,还有你要查找的模块地址。
HMODULE GetProcessModule (DWORD dwPID, LPWSTR czDllName)
{
    HMODULE        hMod        = NULL;
    BOOL          bFound      = FALSE;
    HANDLE        hModuleSnap = NULL;
    MODULEENTRY32W me32        = {0};

    // Take a snapshot of all modules in the specified process.
    hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID);
    if (hModuleSnap == INVALID_HANDLE_VALUE)
        return (FALSE);

    // Fill the size of the structure before using it.

    me32.dwSize = sizeof(MODULEENTRY32W);

    // Walk the module list of the process, and find the module of
    // interest. Then copy the information to the buffer pointed
    // to by lpMe32 so that it can be returned to the caller.

    if (Module32FirstW(hModuleSnap, &me32))
    {
        do
        {
            if(0 == lstrcmpiW(czDllName, me32.szExePath)){
                hMod = me32.hModule;
            }

            printf("%S/n", me32.szExePath);
        }
        while (hMod == NULL && Module32NextW(hModuleSnap, &me32));
    }
    else
        hMod = NULL;           // could not walk module list

    // Do not forget to clean up the snapshot object.

    CloseHandle (hModuleSnap);

    return hMod;
}
    从这个函数返回的是一个模块句柄,它将作为回调函数的参数被写入指定进程中。写入过程和注入DLL时使用的方法是一样的。
    获得FreeLibrary函数全局指针:
    pfnFreeLibrary = (PTHREAD_START_ROUTINE)
        GetProcAddress( GetModuleHandleW(L"Kernel32"), "FreeLibrary" );
    if( pfnFreeLibrary==NULL )
    {
        printf( "Err 0x%08x: GetProcAddressW/n", GetLastError() );
        goto ERROR_EXIT;
    }
    写入模块句柄参数:
    hRemoteProcess = OpenProcess(         PROCESS_QUERY_INFORMATION|PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE|PROCESS_VM_READ,
        FALSE,
        pid );
    if( hRemoteProcess==NULL )
    {
        printf( "Err 0x%08x: OpenProcess/n", GetLastError() );
        goto ERROR_EXIT;
    }

    dwSize = 4;
    szRemoteDllPath = (WCHAR*)VirtualAllocEx(
        hRemoteProcess,
        NULL,
        dwSize,
        MEM_COMMIT,
        PAGE_READWRITE );
    if( szRemoteDllPath==NULL )
    {
        printf( "Err 0x%08x: VirtualAllocEx/n", GetLastError() );
        goto ERROR_EXIT;
    }

    rc = WriteProcessMemory(
        hRemoteProcess,
        szRemoteDllPath,
        (PVOID)(&hM),
        dwSize,
        NULL );
    if( rc==0 )
    {        
        printf( "Err 0x%08x: WriteProcessMemory/n", GetLastError() );
        goto ERROR_EXIT;
    }
    创建远端线程并等其执行结束:
    hRemoteThread = CreateRemoteThread(
        hRemoteProcess,
        NULL,
        0,
        pfnFreeLibrary,
        hM,
        0,
        NULL );
    if( hRemoteThread==NULL )
    {        
        printf( "Err 0x%08x: CreateRemoteThread/n", GetLastError() );
        goto ERROR_EXIT;
    }

    rc = WaitForSingleObject( hRemoteThread, 5000 );
    if( rc!=WAIT_OBJECT_0 )
    {
        if( szRemoteDllPath!=NULL )
        {
            VirtualFreeEx( hRemoteProcess, szRemoteDllPath, 0, MEM_RELEASE );
        }
    }

    到此完工,转载请注明出处,作者张佩。
张佩
关注
linux命令之netstat
清扬叶
03-18 199
netstat命令各个参数说明如下: -a 或–all 显示所有连线中的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。 -c 或–continuous 持续列出网络状态...
学习笔记之卸载远程目标进程中的DLL模块(转)
weixin_30868855的博客
04-30 245
学习笔记之卸载远程目标进程中的DLL模块(2007-07-23 23:51:02)转载▼学习笔记之卸载远程目标进程中的DLL模块2007/7/231.首先得把DLL模块中的线程结束使用CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);创建系统线程的快照然后用Thread32First()和Thread32Next()遍历系统中所有线程.将遍历到的线程保存...
强制卸载目标进程模块
天道酬勤
03-08 3651
代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。 注:强制卸载可能导致目标进程崩溃。 哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll。 下面是代码: class ForceQuit { public: bool EnablePriv() {
卸载掉指定进程中的指定模块
AKe's blog
11-06 1320
//卸载掉指定进程中的指定模块,一般用来清除DLL木马////注://1,对于多次调用了LoadLibrary的进程,需要多次调用该函数才能够保证从该进程完全卸载//2,只有进程创建后动态载入的DLL调用该函数才能够达到效果(如果指定进程的引入表中包含了欲卸载模块,调用虽然能够成功,但是该模块的函数资源等仍然有效。)。////参数://Pid: 进程ID//Module: 模块名////返回值;
卸载进程中的模块(修改版)
nicholasmaxwell的专栏
05-17 1552
/*卸载其他进程dll加入了权限提升,并改为直接用进程名,这样也方便一点freedll.exe explorer.exe adson.dll============还没有解决:卸载模块成功后,宿主进程可能过会儿会发生异常,有待下会解决,郁闷! --------------------------------------------------------------*/#includ
竹林蹊径:深入浅出Windows驱动开发(补全版).张佩 pdf
05-30
《竹林蹊径:深入浅出Windows驱动开发》是由张佩、马勇、董鉴源三位作者共同编著的一本专注于Windows驱动开发的技术书籍。这本书旨在为有一定基础的Windows驱动程序开发人员提供实践经验、技术细节以及深入的框架...
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]
01-07
本书作者张佩等人以其丰富的实践经验和技术积累为基础,为读者提供了深入浅出的学习指南,旨在帮助软件开发者更好地理解并掌握Windows驱动程序的开发方法。 ### 一、Windows驱动开发基础 #### 1.1 Windows驱动模型...
http远程控制台
06-12
服务端根据URL传来的参数,转换为指令执行不同的处理逻辑,然后把执行结果用页面的形式或者某种数据封装返回给客户端,这样的处理是比较常见的。这种处理方式的缺点是扩充不方便,如果作为工具使用不够灵活。...
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]&ckook.part2
08-02
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]&ckook.Part2
搭建Windows驱动编译环境指南
"这篇讲稿主要讲述了如何搭建Windows驱动的编译环境,由张佩于2011年11月09日撰写。重点介绍了WDK(Windows Driver Kit)的作用、版本、下载及安装注意事项,并详细解析了编译环境的配置与使用,包括编译环境的选择...
注入钩子 安全卸载进程模块 UM(含源码)
11-21
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
(含源码) 注入dll 卸载进程模块 UM
11-21
(含源码) 注入dll 卸载进程模块 UM(含源码) 注入dll 卸载进程模块 UM
进程模块查看工具-PCHunter
11-01
可以查看进程模块,检测DLL注入,手动清除木马病毒神器。
卸载其他进程中的dll模块
cqyczj的专栏
04-15 954
啥也不说了,贴代码: [cpp] view plaincopyprint? #include "stdafx.h"   #define MAX_MODULE_NAME_LEN 16   // 传入到远程线程中的参数结构定义   typedef struct tagThreadParam    {       DWORD dwFreeLibr
进程空间卸载模块的方法
haart的专栏
10-31 1101
<br />从进程卸载模块有两种方法<br />1.<br /> <br />/************************************************************************************* 程序作用: 用 NtUnmapViewOfSection 来卸载DLL。测试成功! 程序原理: 程序作者: wyART 代码日期: 2009-12-01 修改日期: 2009-12-01 ***************************
易语言强制卸载进程模块_Linux 中 D 状态的进程与平均负载
weixin_39969953的博客
11-24 219
这篇文章聊聊 Linux 中 D 状态的进程与平均负载的关系,通过阅读本文,你会了解到这些东西。D 状态的进程是什么如何编写内核模块模拟 D 状态进程Linus 对 D 状态进程的看法平均负载的概念在 top 和 uptime 命令输出中的第一行有一个 load average 字段,由三个数字表示,依次表示过去 1 分钟、5 分钟、15 分钟的平均负载(Load Average),如下图所示。值...
如何在不结束进程的情况下卸载进程中的dll模块
www.pingfi.com
04-24 1943
如何在不结束进程的情况下卸载进程中的dll模块EnablePrivilege(HANDLE hToken, LPCSTR szPrivName){TOKEN_PRIVILEGES tkp;LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限tkp.PrivilegeCount=1;tkp.Pr
卸载远程线程中的DLL
星空陨的专栏
10-20 1992
如何卸载其他进程中的DLL。要卸载其他进程中的DLL一般都要首先提升本进程的权限。相关的操作也很简单,我已经将其封装为一个函数/*********************************************************************/BOOL BDebugProcess2(HANDLE hProcess, LPCTSTR PrivilegeName){HANDLE
一文带你实现远程线程注入和卸载
m0_58554082的博客
07-14 719
1. 原理 主要通过API:CreateRemoteThread 来进行远程线程注入 2.远程线程注入Dll的步骤 1.通过进程Id打开指定的进程 2.在指定的进程,分配一段大小为要导入的dll文件名长度的一段内存空间,将dll的文件名写入到分配的内存中。 3.获取目的进程中的loadLibrary的函数地址。 4.创建远程线程,通过上一步获得的loadlibrary函数进行dll导入。 5.释放内存,卸载dll。 3.代码远程注入注意点 1.不能调用除kernel32和user32之外动态库中的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值