第三课 DLL卸载

最新推荐文章于 2023-05-12 21:23:44 发布
最新推荐文章于 2023-05-12 21:23:44 发布
阅读量346 收藏 1
点赞数
分类专栏: DLL注入 文章标签: EjectDll DLL卸载 强制卸载 Freelibrary 引用计数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41917908/article/details/81351119
版权

先来看一下dll卸载的定义

先介绍引用计数的概念

#include "windows.h"
#include "tlhelp32.h"
#include "tchar.h"

#define DEF_PROC_NAME	(L"notepad.exe")
#define DEF_DLL_NAME	(L"myhack.dll")

DWORD FindProcessID(LPCTSTR szProcessName)
{
    DWORD dwPID = 0xFFFFFFFF;
    HANDLE hSnapShot = INVALID_HANDLE_VALUE;
    PROCESSENTRY32 pe;

    // Get the snapshot of the system获取系统快照
    pe.dwSize = sizeof( PROCESSENTRY32 );
    hSnapShot = CreateToolhelp32Snapshot( TH32CS_SNAPALL, NULL );

    // find process查找进程
    Process32First(hSnapShot, &pe);
    do
    {
        if(!_tcsicmp(szProcessName, (LPCTSTR)pe.szExeFile))
        {
            dwPID = pe.th32ProcessID;
            break;
        }
    }
    while(Process32Next(hSnapShot, &pe));

    CloseHandle(hSnapShot);

    return dwPID;
}

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege) 
{
    TOKEN_PRIVILEGES tp;
    HANDLE hToken;
    LUID luid;

    if( !OpenProcessToken(GetCurrentProcess(),
                          TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, 
			              &hToken) )
    {
        _tprintf(L"OpenProcessToken error: %u\n", GetLastError());
        return FALSE;
    }

    if( !LookupPrivilegeValue(NULL,           // lookup privilege on local system
                              lpszPrivilege,  // privilege to lookup 
                              &luid) )        // receives LUID of privilege
    {
        _tprintf(L"LookupPrivilegeValue error: %u\n", GetLastError() ); 
        return FALSE; 
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if( bEnablePrivilege )
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.
    if( !AdjustTokenPrivileges(hToken, 
                               FALSE, 
                               &tp, 
                               sizeof(TOKEN_PRIVILEGES), 
                               (PTOKEN_PRIVILEGES) NULL, 
                               (PDWORD) NULL) )
    { 
        _tprintf(L"AdjustTokenPrivileges error: %u\n", GetLastError() ); 
        return FALSE; 
    } 

    if( GetLastError() == ERROR_NOT_ALL_ASSIGNED )
    {
        _tprintf(L"The token does not have the specified privilege. \n");
        return FALSE;
    } 

    return TRUE;
}

BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName)
{
    BOOL bMore = FALSE, bFound = FALSE;
    HANDLE hSnapshot, hProcess, hThread;
    HMODULE hModule = NULL;
    MODULEENTRY32 me = { sizeof(me) };
    LPTHREAD_START_ROUTINE pThreadProc;

    // dwPID = notepad 进程ID
    // 使用TH32CS_SNAPMODULE 参数,获取加载到notepad进程的DLL名称
    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID);

    bMore = Module32First(hSnapshot, &me);
    for( ; bMore ; bMore = Module32Next(hSnapshot, &me) )
    {
        if( !_tcsicmp((LPCTSTR)me.szModule, szDllName) || 
            !_tcsicmp((LPCTSTR)me.szExePath, szDllName) )
        {
            bFound = TRUE;
            break;
        }
    }

    if( !bFound )
    {
        CloseHandle(hSnapshot);
        return FALSE;
    }

    if ( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) )
    {
        _tprintf(L"OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());
        return FALSE;
    }

    hModule = GetModuleHandle(L"kernel32.dll");
    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "FreeLibrary");
    hThread = CreateRemoteThread(hProcess, NULL, 0, 
                                 pThreadProc, me.modBaseAddr, 
                                 0, NULL);
    WaitForSingleObject(hThread, INFINITE);	

    CloseHandle(hThread);
    CloseHandle(hProcess);
    CloseHandle(hSnapshot);

    return TRUE;
}

int _tmain(int argc, TCHAR* argv[])
{
    DWORD dwPID = 0xFFFFFFFF;
 
    // find process
    dwPID = FindProcessID(DEF_PROC_NAME);
    if( dwPID == 0xFFFFFFFF )
    {
        _tprintf(L"There is no <%s> process!\n", DEF_PROC_NAME);
        return 1;
    }

    _tprintf(L"PID of \"%s\" is %d\n", DEF_PROC_NAME, dwPID);

    // change privilege(改变privilege)
    if( !SetPrivilege(SE_DEBUG_NAME, TRUE) )
        return 1;

    // eject dll
    if( EjectDll(dwPID, DEF_DLL_NAME) )
        _tprintf(L"EjectDll(%d, \"%s\") success!!!\n", dwPID, DEF_DLL_NAME);
    else
        _tprintf(L"EjectDll(%d, \"%s\") failed!!!\n", dwPID, DEF_DLL_NAME);

    return 0;
}

 

 

 

 

 

 

获取进程中加载的DLL信息

CreateToolHelp32Snapshot其中各个参数含义如下:

dwFlags:指定了获取系统进程快照的类型;

th32ProcessID:指向要获取进程快照的ID,获取系统内所有进程快照时是0;

如果函数调用成功返回快照句柄,否则返回INVALID_HANDLE_VALUE。

MODULEENTRY32结构体定义如下:

typedef struct tagMODULEENTRY32

{

DWORD dwSize;

DWORD th32ModuleID;

DWORD th32ProcessID;

DWORD GlblcntUsage;

DWORD ProccntUsage;

BYTE *modBaseAddr;

DWORD modBaseSize;

HMODULE hModule;

TCHAR szModule[MAX_PATH];

TCHAR szExePath[MAX_PATH];

} MODULEENTRY32, *PMODULEENTRY32, *LPMODULEENTRY32;

 

DwSize 指定结构的长度,以字节为单位。在调用Module32First功能,设置这个成员SIZEOFMODULEENTRY32)。如果你不初始化的dwSizeModule32First将失败。

th32ModuleID 此成员已经不再被使用,通常被设置为1

th32ProcessID 正在检查的进程标识符。这个成员的内容,可以使用Win32 API的元素

GlblcntUsage 全局模块的使用计数,即模块的总载入次数。通常这一项是没有意义的,被设置为0xFFFF

ProccntUsage 全局模块的使用计数(与GlblcntUsage相同)。通常这一项也是没有意义的,被设置为0xFFFF

ModBaseAddr 模块的基址,在其所属的进程范围内。

ModBaseSize 模块的大小,单位字节。

HModule 所属进程的范围内,模块句柄。

SzModule NULL结尾的字符串,其中包含模块名。

SzExePath NULL结尾的字符串,其中包含的位置,或模块的路径。

获取目标进程的句柄

获取FreeLibrary()API地址

在目标进程中运行线程

下面进行注入实践

首先把注入器,卸载器,要注入的dll放到同一文件夹中

M开头的Dll中已经看不到我们注入的myhack.dll了

局限性:

使用FreeLibrary()的方法仅适用于卸载自己使用CreateRemoteThread强制注入的DLL文件,PE文件直接导入的DLL文件是无法在进程运行过程中卸载的。

下节课讲解通过修改PE加载DLL,需要熟练掌握PE结构,没有学过PE结构的可以看我的手写PE系列教程。

xuenixiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第一次课(反馈,未讲评)
m0_72827793的博客
09-17 505
使用LPMODULEENTRY32指针可以遍历模块列表,并获取每个模块的详细信息,如模块的地址、大小、名称等,以便进行模块分析、调试等相关操作。通过使用这些函数,开发人员可以对Windows系统中的服务进行查询、操作和管理,以实现对服务的配置、监控和控制等功能。服务控制管理器数据库存储了系统中所有注册的服务的配置信息,包括服务的名称、描述、依赖关系、启动类型、二进制路径等。该函数用于从进程快照中获取下一个进程的信息。因此,目标服务强调的是提供特定的功能和服务,而目标进程则关注的是程序的执行实体和资源管理。
易语言通过进程名称获取进程ID
511遇见
06-05 8870
通过系统映像的名称来获取进程的PID,有了PID就可以通过(进程_ID取窗口句柄) 获取窗口句柄,有了句柄就可以大漠后台绑定窗口,所以最终目的还是通过进程名称来获取进程所在窗口的句柄,用来窗口的绑定操作。 用到的API 1、CreateToolhelp32Snapshot(创建进程快照) 2、Process32First(取第一个进程) 3、Process32Next(取下一个进程) 4、CloseHandle(关闭一个内核对象) 511遇见易语言模块API教程 自定义数据类型 进程信息列表.
卸载残留删除之 .dll文件
m0_61100491的博客
05-12 3934
dll(动态链接库),是一种可以被程序调用的一种通用型文件。也正因为这个特性,导致在删除垃圾软件后,会残留许多dll难以卸载。如图类似的“已在windows资源管理器打开”,如果要删除会耗费大量的精力,可能结果还删不掉。
由进程名取得进程ID
paradox_1_0的博客
09-08 1801
1.此处进程名是指进程可执行文件的名称(任务管理器进程列表中显示的映像名称); 2.windows下没有现成的API,实现思路采用CreateToolhelp32Snapshot函数创建进程快照然后依次遍历比较; 3.使用CreateToolhelp32Snapshot函数需要包含头文件#include<tlhelp32.h> 4.具体原理讲解: HANDLE WINAPI ...
远程线程注入.rar_VirtualAllocEx_dll卸载_riverlpg_skill1bc_远程
07-14
用CreateRemoteThread和FreeLibraryDLL从远程进程中卸载。调用时传递第6步取得的HMODULE给FreeLibrary(通过CreateRemoteThread的lpParameter参数)。 //9. 等待线程的结束(WaitSingleObject)。
Dll Killer 1.0(卸载用户第三方dll模块)
06-26
Dll Killer 1.0(卸载用户第三方dll模块),欢迎大家下载
金蝶K3完全卸载
03-28
删除 C:\Program Files\Common Files\Kingdee 文件夹是卸载金蝶K3 的第三步骤。 知识点:公共文件夹下的 Kingdee 文件夹包含了金蝶K3 的公共组件,删除该文件夹可以确保卸载的完整性。 四、删除 GUID 值 在 C:\...
geekV1强制卸载工具
09-11
4. **防范恶意软件**:使用任何第三方工具时,都要确保来源安全,避免下载带有病毒或恶意软件的文件。 总之,geekV1.4.4.117.exe作为一款专业的强制卸载工具,为用户提供了便捷的解决方案,有效解决了顽固程序的...
office卸载
01-09
2. 安全模式下删除整个文件夹,或者使用第三方清理工具如CCleaner查找并清理残留文件。 **步骤4:使用专门的卸载工具** 如果以上步骤仍无法解决问题,可以使用Microsoft提供的卸载工具,如"Office 2007 System ...
Unity ILRuntime框架设计
02-19
本课程主要是针对ILRuntime设计一个独立的脚本热更新框,框架的优势:1.将代码热更脱离Assetbundle资源热更,独立的部分更适用于各种不同的框架。2.加快项目的逻辑更新,bug修复.(后期修bug,多数情况下并不用动到资源,只需要更新脚本代码,无需重走资源打包发布流程,大大提升效率)3.提供热更模式和正常开发模式的快速切换接口,可以让队友像平常一样去开发.4.不依赖市面上的任何AB框架,完全兼容市面上各种不同的AB框架.5.重点:希望通过它,帮助你学习、了解ILRuntime真正在项目中的应用.框架的将提供以下这些接口,这些接口将从0开始,在Unity里将C#脚本编译成dll,然后将dll放到服务器上,再将dll下载下来,进行加载,到最后从Unity主工程调用热更新的代码逻辑.1.Create hotfixdll接口将热更部分的代码 编译成dll生成dll版本配置(MD5)2.更新对比接口本地跟服务器的dll进行版本对比3.下载热更dll下载dll本身的文件下载版本记录文件4.加载热更dll加载dll实例化:AppDomain初始化:注册跨域继承适配器注册委托适配器LitJson重定向调用性能优化(CLR绑定功能)调用热更接口Hotfix.HotfixApplication.Main 进入热更逻辑5.ILMonoBehaviour用于监听组件的生命周期,实际是桥接(调用)热更的逻辑AwakeStartEnableUpdateLateUpdate.......6.添加其他常用的库DOTweenLitJsonSpineGoogle.ProtobufTextAnimation可以根据上面的方式,自行添加依赖的库... 
EjectDll
夜空中最亮的星
11-13 882
//EjectDll.exe #include "windows.h" #include "tlhelp32.h" #include "tchar.h" #define DEF_PROC_NAME (L"notepad.exe") #define DEF_DLL_NAME (L"myhack.dll") DWORD FindProcessID(LPCTSTR szProcessName) {
WIN32进程快照以及进程ID和句柄查找
kerry的专栏
09-15 4417
     要对进程进行某种操作,就必须首先知道该进程的进程句柄或者进程ID,否则一切无从谈起,对于程序自己创建的子进程来说,CreateProcess函数返回了进程句柄和进程ID,但如果需要调试系统中已经运行的进程,那就必须首先获取它们的句柄才行。Win32中并没有直接获取其他进程句柄的函数,但如果知道进程ID,可以由此得到进程句柄,所以可以首先通过某种途径获取进程ID。 一、获取进程ID
win32两种获取进程句柄的方式
weixin_43575859的博客
03-28 4112
获取运行中的进程句柄 获取进程句柄的方式有很多种,之前有说到CreateProcess函数,该函数在一个进程中打开另一个进程,并且得到子进程的句柄,不过有时候我们更想获得正在运行的进程的句柄。获取正在运行的进程句柄也有几种方式,下面介绍一下几个函数。 FindWindow invoke FindWindow,lpClassName,lpWindowName 该函数返回一个窗口句柄,...
DLL卸载
fa1c4的blog
03-06 432
DLL Ejection 把DLL弹出的一种技术, 对应于DLL注入. 原理 其实也比较简单 DLL注入是驱使目标进程调用LoadLibrary() API DLL弹出是驱使目标进程调用FreeLibrary() API 具体来说就是, 将FreeLibrary()的地址传递给CreateRemoteThread()的lpStartAddress参数, 把需要卸载DLL的句柄传递给lpParameter参数. 同时需要注意, Windows内核对象设置有一个引用计数(Reference Count)参数,
枚举进程中的模块
Masimaro的专栏
05-16 3914
在Windows中枚举进程中的模块主要是其中加载的dll,在VC上主要有2种方式,一种是解析PE文件中导入表,从导入表中获取它将要静态加载的dll,一种是利用查询进程地址空间中的模块,根据模块的句柄来得到对应的dll,最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段:解析PE文件来获取其中的dll在之前介绍PE文件时说过PE文件中
ILRuntime(三)不使用dll执行hotfix部分代码
王王王渣渣的博客
11-19 2018
在前面的项目中,如果我们修改hotfix部分的代码,想要看运行效果,需要每次都编译dll文件然后再执行。在开发过程中会比较繁琐,所以我们可以添加一个选项,使其可以不读取dll,从而调用hotfix的代码来执行项目(也就是忽略ILRuntime功能)。当然这么做之后,我们也需要是不是的编译dll一下,以防一些开发中的ILRuntime的语法错误堆积起来。 首先我们添加一个枚举 public e...
DLL卸载(创建远程线程卸载强制注入的dll)
m0_51713041的博客
04-13 1150
DLL卸载 实际上我觉得应该改名叫:创建远程线程卸载强制注入的dll 一:工作原理 驱使目标进程调用FreeLibrary() API,和CreateRemoteThread() API来创建远程线程从而实现dll注入的方法类似,这个也是将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并将要卸载DLL的句柄传递给lpParameter参数。 注:每个windows内核对象都拥有一个引用计数,代表对象被使用的次数。每调用一个Load
sgcdkq.dll
最新发布
01-12
2. 从可信源下载sgcdkq.dll文件:如果确定sgcdkq.dll文件确实缺失或损坏,我们可以从可信的来源,例如官方网站或认可的第三方网站,下载正确的sgcdkq.dll文件。注意下载的文件要与操作系统和软件的位数(32位或64位...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xuenixiang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值