卸载远端进程模块(张佩)

最新推荐文章于 2024-05-30 14:48:05 发布
最新推荐文章于 2024-05-30 14:48:05 发布
阅读量2.3k 收藏
点赞数
文章标签: null module dll winapi structure list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blog_index/article/details/2212778
版权
         卸载远端进程的模块(张佩)
    我看到了很多用创建远端线程的方法注入dll的文章,内容大同小异。但奇怪的是,没有一篇文章介绍如何把注入的远端线程卸载掉的方法。为了实践自己的好奇心,我试着实现了一下,使用的是类似注入dll的方法。
    1.首先我想到调用什么API卸载DLL。我想到用遍历IAT的方法,找到唯一的dll名字,然后将它隐藏。我虽然没有实际去做,但我立刻就意识到了此方法的缺点:只是修改了IAT,而没有真正地卸载,因为我还不知道实现卸载的技术细节。后来我想到用FreeLibrary函数。其实看到注入过程使用了LoadLibrary函数,应该条件反应地想到用FreeLibrary。但我并没有第一反应地想到它。
    2.实现方法:创建远端线程。
    好了,来看看FreeLibrary这个函数吧,很幸运我可以用它来作为远端线程的回调函数,看看它的声明是怎样的:
    BOOL FreeLibrary(HMODULE hModule);
    如果要想成为远端线程的回调函数,其声明格式应该是这样的:
    DWORD WINAPI ThreadProc(LPVOID lpParameter);
    LPVOID可以强转成HMODULE句柄,DWORD也可以强转成BOOL型变量。所以FreeLibrary是可以作为远端线程的回调函数的。FreeLibrary需要一个参数,HMODULE句柄。为了得到这个句柄,必须遍历进程的句柄列表。

// 传入指定进程的进程ID,还有你要查找的模块地址。
HMODULE GetProcessModule (DWORD dwPID, LPWSTR czDllName)
{
    HMODULE        hMod        = NULL;
    BOOL          bFound      = FALSE;
    HANDLE        hModuleSnap = NULL;
    MODULEENTRY32W me32        = {0};

    // Take a snapshot of all modules in the specified process.
    hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID);
    if (hModuleSnap == INVALID_HANDLE_VALUE)
        return (FALSE);

    // Fill the size of the structure before using it.

    me32.dwSize = sizeof(MODULEENTRY32W);

    // Walk the module list of the process, and find the module of
    // interest. Then copy the information to the buffer pointed
    // to by lpMe32 so that it can be returned to the caller.

    if (Module32FirstW(hModuleSnap, &me32))
    {
        do
        {
            if(0 == lstrcmpiW(czDllName, me32.szExePath)){
                hMod = me32.hModule;
            }

            printf("%S/n", me32.szExePath);
        }
        while (hMod == NULL && Module32NextW(hModuleSnap, &me32));
    }
    else
        hMod = NULL;           // could not walk module list

    // Do not forget to clean up the snapshot object.

    CloseHandle (hModuleSnap);

    return hMod;
}
    从这个函数返回的是一个模块句柄,它将作为回调函数的参数被写入指定进程中。写入过程和注入DLL时使用的方法是一样的。
    获得FreeLibrary函数全局指针:
    pfnFreeLibrary = (PTHREAD_START_ROUTINE)
        GetProcAddress( GetModuleHandleW(L"Kernel32"), "FreeLibrary" );
    if( pfnFreeLibrary==NULL )
    {
        printf( "Err 0x%08x: GetProcAddressW/n", GetLastError() );
        goto ERROR_EXIT;
    }
    写入模块句柄参数:
    hRemoteProcess = OpenProcess(         PROCESS_QUERY_INFORMATION|PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE|PROCESS_VM_READ,
        FALSE,
        pid );
    if( hRemoteProcess==NULL )
    {
        printf( "Err 0x%08x: OpenProcess/n", GetLastError() );
        goto ERROR_EXIT;
    }

    dwSize = 4;
    szRemoteDllPath = (WCHAR*)VirtualAllocEx(
        hRemoteProcess,
        NULL,
        dwSize,
        MEM_COMMIT,
        PAGE_READWRITE );
    if( szRemoteDllPath==NULL )
    {
        printf( "Err 0x%08x: VirtualAllocEx/n", GetLastError() );
        goto ERROR_EXIT;
    }

    rc = WriteProcessMemory(
        hRemoteProcess,
        szRemoteDllPath,
        (PVOID)(&hM),
        dwSize,
        NULL );
    if( rc==0 )
    {        
        printf( "Err 0x%08x: WriteProcessMemory/n", GetLastError() );
        goto ERROR_EXIT;
    }
    创建远端线程并等其执行结束:
    hRemoteThread = CreateRemoteThread(
        hRemoteProcess,
        NULL,
        0,
        pfnFreeLibrary,
        hM,
        0,
        NULL );
    if( hRemoteThread==NULL )
    {        
        printf( "Err 0x%08x: CreateRemoteThread/n", GetLastError() );
        goto ERROR_EXIT;
    }

    rc = WaitForSingleObject( hRemoteThread, 5000 );
    if( rc!=WAIT_OBJECT_0 )
    {
        if( szRemoteDllPath!=NULL )
        {
            VirtualFreeEx( hRemoteProcess, szRemoteDllPath, 0, MEM_RELEASE );
        }
    }

    到此完工,转载请注明出处,作者张佩。
张佩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
注入钩子 安全卸载进程模块 UM(含源码)
11-21
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
学习笔记之卸载远程目标进程中的DLL模块(转)
weixin_30868855的博客
04-30 226
学习笔记之卸载远程目标进程中的DLL模块(2007-07-23 23:51:02)转载▼学习笔记之卸载远程目标进程中的DLL模块2007/7/231.首先得把DLL模块中的线程结束使用CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);创建系统线程的快照然后用Thread32First()和Thread32Next()遍历系统中所有线程.将遍历到的线程保存...
强制卸载目标进程模块
天道酬勤
03-08 3580
代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。 注:强制卸载可能导致目标进程崩溃。 哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll。 下面是代码: class ForceQuit { public: bool EnablePriv() {
卸载掉指定进程中的指定模块
AKe's blog
11-06 1293
//卸载掉指定进程中的指定模块,一般用来清除DLL木马////注://1,对于多次调用了LoadLibrary的进程,需要多次调用该函数才能够保证从该进程完全卸载//2,只有进程创建后动态载入的DLL调用该函数才能够达到效果(如果指定进程的引入表中包含了欲卸载模块,调用虽然能够成功,但是该模块的函数资源等仍然有效。)。////参数://Pid: 进程ID//Module: 模块名////返回值;
卸载进程中的模块(修改版)
nicholasmaxwell的专栏
05-17 1511
/*卸载其他进程dll加入了权限提升,并改为直接用进程名,这样也方便一点freedll.exe explorer.exe adson.dll============还没有解决:卸载模块成功后,宿主进程可能过会儿会发生异常,有待下会解决,郁闷! --------------------------------------------------------------*/#includ
http远程控制台
06-12
服务端根据URL传来的参数,转换为指令执行不同的处理逻辑,然后把执行结果用页面的形式或者某种数据封装返回给客户端,这样的处理是比较常见的。这种处理方式的缺点是扩充不方便,如果作为工具使用不够灵活。...
竹林蹊径:深入浅出Windows驱动开发(补全版).张佩 pdf
05-30
竹林蹊径:深入浅出Windows驱动开发(补全版).张佩 pdf
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]
01-07
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]
windows驱动讲稿1.1 - 搭建编译环境
11-28
Windows驱动讲稿 之:搭建编译环境 张佩 2011-11-09
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]&ckook.part2
08-02
《竹林蹊径 深入浅出Windows驱动开发》.(张佩等).[PDF]&ckook.Part2
(含源码) 注入dll 卸载进程模块 UM
11-21
(含源码) 注入dll 卸载进程模块 UM(含源码) 注入dll 卸载进程模块 UM
linux命令之netstat
清扬叶
03-18 165
netstat命令各个参数说明如下: -a 或–all 显示所有连线中的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。 -c 或–continuous 持续列出网络状态...
卸载其他进程中的dll模块
cqyczj的专栏
04-15 929
啥也不说了,贴代码: [cpp] view plaincopyprint? #include "stdafx.h"   #define MAX_MODULE_NAME_LEN 16   // 传入到远程线程中的参数结构定义   typedef struct tagThreadParam    {       DWORD dwFreeLibr
进程空间卸载模块的方法
haart的专栏
10-31 1067
<br />从进程卸载模块有两种方法<br />1.<br /> <br />/************************************************************************************* 程序作用: 用 NtUnmapViewOfSection 来卸载DLL。测试成功! 程序原理: 程序作者: wyART 代码日期: 2009-12-01 修改日期: 2009-12-01 ***************************
易语言强制卸载进程模块_Linux 中 D 状态的进程与平均负载
weixin_39969953的博客
11-24 203
这篇文章聊聊 Linux 中 D 状态的进程与平均负载的关系,通过阅读本文,你会了解到这些东西。D 状态的进程是什么如何编写内核模块模拟 D 状态进程Linus 对 D 状态进程的看法平均负载的概念在 top 和 uptime 命令输出中的第一行有一个 load average 字段,由三个数字表示,依次表示过去 1 分钟、5 分钟、15 分钟的平均负载(Load Average),如下图所示。值...
如何在不结束进程的情况下卸载进程中的dll模块
www.pingfi.com
04-24 1881
如何在不结束进程的情况下卸载进程中的dll模块EnablePrivilege(HANDLE hToken, LPCSTR szPrivName){TOKEN_PRIVILEGES tkp;LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限tkp.PrivilegeCount=1;tkp.Pr
利用NtUnmapViewOfSection强制卸载模块
北极星2003的专栏
09-14 3023
 确实可以卸载指定进程指定位置的模块,但有几个问题:[1]  PEB的模块列表中还存在该模块的记录,大部分模块枚举函数都是枚举这个列表[2]  可能会出现访问异常看来RING3下是不可能做到强制卸载模块的完美实现,要进ring0才行。下面是测试代码typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle
卸载远程线程中的DLL
星空陨的专栏
10-20 1955
如何卸载其他进程中的DLL。要卸载其他进程中的DLL一般都要首先提升本进程的权限。相关的操作也很简单,我已经将其封装为一个函数/*********************************************************************/BOOL BDebugProcess2(HANDLE hProcess, LPCTSTR PrivilegeName){HANDLE
STL中list的模拟实现
最新发布
2202_75331338的博客
05-30 336
代码是没有问题的,但是我们也可以发现,这样非常的冗余 有些函数是没有变化的,确多写了一遍,有没有什么办法能解决这种冗余呢?const迭代器的目标是 迭代器本身可以修改,指定的内容不能修改,类似const T* p。因此我们重新写一个const类进行封装,我们只需改变解引用即可,使得指向内容不能修改。浅拷贝生成的ls2,与ls1的地址相同,对ls1操作也会对ls2有影响。由于我们经常使用申请头节点,因此我们把头节点封装成一个函数,便于调用。这里存在迭代器失效,因此我们和库里一样返回下一个节点迭代器。
STL-list
weixin_64423718的博客
05-27 814
1. list是可以在常数范围内在任意位置进行插入和删除的序列式容器,并且该容器可以前后双向迭代。2. list的底层是双向链表结构,双向链表中每个元素存储在互不相关的独立节点中,在节点中通过指针指向其前一个元素和后一个元素。3. list与forward_list非常相似:最主要的不同在于forward_list是单链表,只能朝前迭代,已让其更简单高效。4. 与其他的序列式容器相比(array,vector,deque),list通常在任意位置进行插入、移除元素的执行效率更好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值