卸载其他进程中的dll模块

最新推荐文章于 2018-03-25 20:17:00 发布
最新推荐文章于 2018-03-25 20:17:00 发布
阅读量946 收藏
点赞数

啥也不说了,贴代码:

[cpp]  view plain copy print ?
  1. #include "stdafx.h"  
  2. #define MAX_MODULE_NAME_LEN 16  
  3. // 传入到远程线程中的参数结构定义  
  4. typedef struct tagThreadParam   
  5. {  
  6.     DWORD dwFreeLibrary;                    // FreeLibrary 地址  
  7.     DWORD dwGetModuleHandle;                // GetModuleHandle 地址  
  8.     TCHAR szModuleName[MAX_MODULE_NAME_LEN];// 需要卸载的模块的名称  
  9. }ThreadParam,*PThreadParam;  
  10. /* 
  11.     远程线程函数 
  12. */  
  13. void RemoteThreadFun(PThreadParam PParam)  
  14. {  
  15.     DWORD dwFreeLibrary;  
  16.     DWORD dwGetModuleHandle;  
  17.     DWORD dwModuleName;  
  18.       
  19.     dwFreeLibrary = PParam->dwFreeLibrary;  
  20.     dwGetModuleHandle = PParam->dwGetModuleHandle;  
  21.     dwModuleName = (DWORD)PParam->szModuleName;  
  22.       
  23.     // 释放的最高次数  
  24.     DWORD dwCount = 100;  
  25.       
  26.     // 循环寻找指定模块的句柄,如果找到,那么调用FreeLibrary释放,  
  27.     // 直到该模块被释放  
  28.     __asm  
  29.     {          
  30. START:  
  31.     push dwModuleName;            // 模块名称压栈  
  32.     call dwGetModuleHandle;        // 调用GetModuleHandle  
  33.     test eax,eax;                //   
  34.     jz OVER;                    // 没有找到模块返回  
  35.     dec dwCount;  
  36.     jz OVER;                    // 达到最高次数  
  37.     push eax;                    // 模块句柄压栈  
  38.     call dwFreeLibrary;            // 调用FreeLibrary  
  39.     test eax,eax;  
  40.     jnz START;  
  41. OVER:          
  42.     }  
  43.     return;  
  44. }  
  45. /* 
  46.     调整权限 
  47. */  
  48. bool AdjustPurview()  
  49. {  
  50.     TOKEN_PRIVILEGES TokenPrivileges;  
  51.     bool bRet;  
  52.     HANDLE hToken;  
  53.       
  54.     LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &TokenPrivileges.Privileges[0].Luid);     
  55.     OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken);  
  56.       
  57.     TokenPrivileges.PrivilegeCount = 1;     
  58.     TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
  59.       
  60.     bRet = !!AdjustTokenPrivileges(hToken, FALSE, &TokenPrivileges, 0, NULL, NULL);  
  61.       
  62.     CloseHandle(hToken);  
  63.     return bRet ;  
  64. }  
  65. BOOL FreeModuleByPid(TCHAR * szModuleName,DWORD dwPid)  
  66. {  
  67.     // 参数构造  
  68.     ThreadParam Param = ...{0};  
  69.     Param.dwFreeLibrary = (DWORD)FreeLibrary;  
  70.     Param.dwGetModuleHandle = (DWORD)GetModuleHandleA;  
  71.     MoveMemory(Param.szModuleName,szModuleName,MAX_MODULE_NAME_LEN);  
  72.       
  73.     // 打开指定的进程  
  74.     HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);  
  75.     if(hProcess==NULL)  
  76.     {   
  77.         OutputDebugString(_T("OpenProcess failed!!"));  
  78.         return FALSE;  
  79.     }  
  80.       
  81.     // 参数写入  
  82.     LPVOID lpParam = NULL;  
  83.     lpParam = VirtualAllocEx(hProcess,NULL,sizeof(Param),MEM_COMMIT,PAGE_READWRITE);  
  84.     if (lpParam == NULL)  
  85.     {  
  86.         return FALSE;  
  87.     }  
  88.       
  89.     if (!WriteProcessMemory(hProcess,lpParam,&Param,sizeof(Param),0))  
  90.     {  
  91.         VirtualFreeEx(hProcess,lpParam,0,MEM_RELEASE);  
  92.         return FALSE;  
  93.     }  
  94.       
  95.     // 函数写入  
  96.     LPVOID lpThread = NULL;  
  97.     lpThread = VirtualAllocEx(hProcess,NULL,0x100,MEM_COMMIT,PAGE_EXECUTE_READWRITE);  
  98.     if (lpThread == NULL)  
  99.     {  
  100.         return FALSE;  
  101.     }  
  102.       
  103.     if (!WriteProcessMemory(hProcess,lpThread,RemoteThreadFun,0x100,0))  
  104.     {  
  105.         VirtualFreeEx(hProcess,lpThread,0,MEM_RELEASE);  
  106.         return FALSE;  
  107.     }  
  108.       
  109.     // 创建线程  
  110.     HANDLE hThread = NULL;  
  111.     hThread = CreateRemoteThread(hProcess,0,0,(LPTHREAD_START_ROUTINE)lpThread,lpParam,0,NULL);  
  112.     if(hThread == NULL)  
  113.     {  
  114.         return FALSE;  
  115.     }  
  116.       
  117.     // 等待线程结束  
  118.     WaitForSingleObject(hThread,INFINITE);  
  119.       
  120.     // 清理工作  
  121.     VirtualFreeEx(hProcess,lpThread,0,MEM_RELEASE);  
  122.     VirtualFreeEx(hProcess,lpParam,0,MEM_RELEASE);  
  123.     CloseHandle(hProcess);  
  124.       
  125.     return TRUE;  
  126. }  
  127. int APIENTRY WinMain(HINSTANCE hInstance,  
  128.                      HINSTANCE hPrevInstance,  
  129.                      LPSTR     lpCmdLine,  
  130.                      int       nCmdShow)  
  131. {  
  132.     AdjustPurview();  
  133.     TCHAR * szModuleName = _T("AcroIEHelper.dll");  
  134.     DWORD dwPid = 1128;  
  135.     FreeModuleByPid(szModuleName,dwPid);  
  136.     return 0;  
  137. }  


cqzj70
关注
卸载远程进程DLL文件
12-13
很多病毒木马被写成了DLL格式,以插入到系统其他正常进程,实现无进程,难以删除的目的,该工具可以搜索所有进程是否含有指定的DLL文件,如果发现则强行卸载,对手工查杀病毒木马有帮助,代码简单
强制卸载目标进程模块
天道酬勤
03-08 3635
代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。 注:强制卸载可能导致目标进程崩溃。 哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll。 下面是代码: class ForceQuit { public: bool EnablePriv() {
如何在不结束进程的情况下卸载进程dll模块
www.pingfi.com
04-24 1925
如何在不结束进程的情况下卸载进程dll模块EnablePrivilege(HANDLE hToken, LPCSTR szPrivName){TOKEN_PRIVILEGES tkp;LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限tkp.PrivilegeCount=1;tkp.Pr
卸载掉指定进程的指定模块
AKe's blog
11-06 1310
//卸载掉指定进程的指定模块,一般用来清除DLL木马////注://1,对于多次调用了LoadLibrary的进程,需要多次调用该函数才能够保证从该进程完全卸载//2,只有进程创建后动态载入的DLL调用该函数才能够达到效果(如果指定进程的引入表包含了欲卸载模块,调用虽然能够成功,但是该模块的函数资源等仍然有效。)。////参数://Pid: 进程ID//Module: 模块名////返回值;
教你如何卸载被注入到进程dll
04-04
本文将详细讲解如何识别和卸载被注入到进程DLL。 首先,了解"注入DLL"的概念。DLL注入通常通过利用API函数如`LoadLibrary()`或`GetProcAddress()`实现,这些函数允许程序在运行时加载和调用其他DLL的功能。恶意...
易语言DLL卸载
07-21
通过查看和分析这个源码,可以深入理解易语言如何处理DLL的生命周期管理,学习如何在易语言编写DLL的入口函数、如何获取模块句柄以及如何实现自卸载的逻辑。 为了实现DLL卸载,开发者通常需要以下步骤: 1. ...
unload_dll:从正在运行的进程卸载DLL。-开源
05-08
它提供了在运行的进程安全卸载DLL的功能,即使该DLL被其他进程所依赖。这个工具对于开发者来说,是调试和优化程序的重要辅助,可以帮助他们更有效地管理DLL的生命周期,尤其是在处理复杂进程间依赖关系时。 在...
卸载远程进程的指定DLL文件
12-13
针对这种情况,开发一个能够卸载远程进程指定DLL文件的工具显得尤为重要。下面我们将深入探讨这个话题。 首先,DLL是Windows操作系统的一种共享库机制,它允许多个程序同时使用同一段代码,从而节省内存资源并...
(含源码) 注入dll 卸载进程模块 UM
11-21
在这个特定的案例,"注入dll 卸载进程模块 UM" 指的可能是创建一个DLL,然后将其注入到用户模式(User Mode)下的进程,以执行特定的卸载任务。 DLL注入的核心在于利用Windows API函数,如`CreateRemoteThread`和...
注入钩子 安全卸载进程模块 UM(含源码)
11-21
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
VB写标准DLL
02-21
安装方法: 1.打开 Linker 目录,打开 Linker.vbp 生成得到 makedll.exe ~ 2.再打开 Add-ins 目录,打开 MakeDLLAddin.vbp 生成得到 MakeDLL.dll ~ 3.把得到的2个文件复制到 VB98 目录,然后再注册(regsvr32) MakeDLL.dll ~ 4.这时外接程序应该有“VB 写标准 DLL Add-ins”了吧 ~ 5.把 模板 目录的文件复制到“VB98的目录\Template\Projects\”~ 好了 自己试试吧~ 卸载方法 删掉VB98目录的 makedll.exe 和 MakeDLL.dll 如果你要写DLL 得加一个函数DLLMain() 否则是写不成的 可以不输出,, Function DllMain(ByVal a As Long ,ByVal b As Long ,ByVal c As Long) As Long DllMain = 1 End Function 还要写个 Sub Main() 可以不输出 Sub Main() End Sub 要输出先点 菜单 ->文件 ->选择输出的函数 自己操作。。要输出函数一定要打勾“生成 DLL 文件” 要先保存。。 然后生成 要改版本,菜单 ->工程 ->XXX 工程属性
卸载远程线程DLL
星空陨的专栏
10-20 1975
如何卸载其他进程DLL。要卸载其他进程DLL一般都要首先提升本进程的权限。相关的操作也很简单,我已经将其封装为一个函数/*********************************************************************/BOOL BDebugProcess2(HANDLE hProcess, LPCTSTR PrivilegeName){HANDLE
卸载远端进程模块(张佩)
张佩的技术库
03-24 2387
         卸载远端进程模块(张佩)    我看到了很多用创建远端线程的方法注入dll的文章,内容大同小异。但奇怪的是,没有一篇文章介绍如何把注入的远端线程卸载掉的方法。为了实践自己的好奇心,我试着实现了一下,使用的是类似注入dll的方法。    1.首先我想到调用什么API卸载DLL。我想到用遍历IAT的方法,找到唯一的dll名字,然后将它隐藏。我虽然没有实际去做,但我立刻就意识到了此方
VB远程注入卸载DLL代码
gzhoney的专栏
12-11 1120
 http://community.csdn.net/Expert/topic/5219/5219055.xml?temp=.7609217很多人说VB不能远程注入DLL,其实是错误的VB其实也能象C++等其他语言一样轻松搞定!!不信请看下面代码!更多精彩的代码请访问我的博客。其实网上也有类似VB代码但是只有注入没有下载,而且注入通用性很差很多会出现非法操作,我的这个代码经过充分测试包括系统进
卸载进程模块(修改版)
nicholasmaxwell的专栏
05-17 1533
/*卸载其他进程dll加入了权限提升,并改为直接用进程名,这样也方便一点freedll.exe explorer.exe adson.dll============还没有解决:卸载模块成功后,宿主进程可能过会儿会发生异常,有待下会解决,郁闷! --------------------------------------------------------------*/#includ
进程空间卸载模块的方法
haart的专栏
10-31 1089
<br />从进程卸载模块有两种方法<br />1.<br /> <br />/************************************************************************************* 程序作用: 用 NtUnmapViewOfSection 来卸载DLL。测试成功! 程序原理: 程序作者: wyART 代码日期: 2009-12-01 修改日期: 2009-12-01 ***************************
两种跨进程卸载dll的方式
weixin_30252155的博客
03-25 416
方法一:(1)通过远程调用GetModuleHandleA得到dll加载地址     (2)远程调用freeLibrary卸载dll   char * dllPath = "C:\\Users\\Administrator\\Desktop\\various.dll"; HANDLE hp = OpenProcess(PROCESS_ALL_ACCESS, false,7416...
卸载已经注入进程DLL 实验
pDaren的专栏
08-23 2525
知道了注入的原理,对于卸载就很容易学会了!对于DLL注入型病毒、木马、可以很自己编写一个专杀软件!下面的写法对于我来说比较新鲜,用的是返回错误代码的写法,有点API的味道!//获取进程PID DWORD GetProcessPID(char *ProcessName) { CString Name; Name.Format("%s",ProcessName); //快照进程信息 HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPR
Windows系统下远程线程注入DLL的检测与卸载策略
木马通过远程线程注入,将自身的DLL加载到其他正在运行的进程,使得恶意代码得以执行,而且难以被常规的安全软件发现。 针对这一问题,研究提出了一个进程被远程注入DLL的检测方法。这种方法可能包括但不限于监控...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值