逆向工程核心原理之DLL卸载

最新推荐文章于 2024-09-02 19:21:03 发布
最新推荐文章于 2024-09-02 19:21:03 发布
阅读量357 收藏
点赞数
分类专栏: 逆向 文章标签: 逆向工程核心原理 DLL卸载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/79641358
版权
DLL卸载

winxp测试成功(需要C:\windows\system32\msvcr100.dll)

// EjectDll.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include<Windows.h>
#include<TlHelp32.h>
#include<tchar.h>

#define DEF_PROC_NAME (L"notepad.exe")
#define DEF_DLL_NAME (L"Myhack.dll")

DWORD FindProcessID(LPCTSTR szProcessName)
{
	DWORD dwPID=0xFFFFFFFF;
	HANDLE hSnapShot=INVALID_HANDLE_VALUE;
	//用来存放快照进程信息的一个结构体。(存放进程信息和调用成员输出进程信息)用来 Process32First指向第一个进程信息,并将进程信息抽取到PROCESSENTRY32中。用Process32Next指向下一条进程信息。
	PROCESSENTRY32 pe;

	//获取系统快照
	pe.dwSize=sizeof(PROCESSENTRY32);
	//通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。
	//TH32CS_SNAPALL:包括系统中的所有进程和线程,以及th32ProcessID中指定的进程的堆和模块。
	//the32ProcessID=NULL:代表当前进程
	hSnapShot=CreateToolhelp32Snapshot(TH32CS_SNAPALL,NULL);

	//查找进程
	Process32First(hSnapShot,&pe);
	do
	{
		if(!_tcsicmp(szProcessName,(LPCTSTR)pe.szExeFile))
		{
			dwPID=pe.th32ProcessID;
			break;
		}
	}
	while(Process32Next(hSnapShot,&pe));

	CloseHandle(hSnapShot);
	
	return dwPID;

}

BOOL SetPrivilege(LPCTSTR lpszPrivilege,BOOL bEnablePrivilege)
{
	//结构体,包含两个成员PrivilegeCount:特权数组个数,Privileges:一个LUID_AND_ATTRIBUTES结构体. 每个结构体包括LUID和特权的属性.
	/*
	typedef struct _LUID_AND_ATTRIBUTES {
		LUID  Luid;
		DWORD Attributes;
	} LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES;
	*/
	TOKEN_PRIVILEGES tp;
	HANDLE hToken;
	LUID luid;

	if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
	{
		_tprintf(L"OpenProcessToken error:%u\n",GetLastError());
		return FALSE;
	}
	
	//NULL:查看本地系统;lpszPrivilege:指定特权名称;&luid:接收返回的特权名称的信息
	if(!LookupPrivilegeValue(NULL,lpszPrivilege,&luid))
	{
		_tprintf(L"LookupPrivilegeValue error:%u\n",GetLastError());
		return FALSE;
	}

	tp.PrivilegeCount=1;
	tp.Privileges[0].Luid=luid;

	if(bEnablePrivilege)
		tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
	else
		tp.Privileges[0].Attributes=0;

	//提权或禁用特权
	if(!AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),(PTOKEN_PRIVILEGES)NULL,(PDWORD)NULL))
	{
		_tprintf(L"AdjustTokenPrivileges error:%u\n",GetLastError());
		return FALSE;
	}

	if(GetLastError()==ERROR_NOT_ALL_ASSIGNED)
	{
		_tprintf(L"The token dose not have the specified privilege.\n");
		return FALSE;
	}

	return TRUE;
}


BOOL EjectDll(DWORD dwPID,LPCTSTR szDllName)
{
	BOOL bMore=FALSE,bFound=FALSE;
	HANDLE hSnapshot,hProcess,hThread;
	HMODULE hModule=NULL;
	MODULEENTRY32 me={sizeof(me)};
	LPTHREAD_START_ROUTINE pThreadProc;

	//dwPID=notepad进程ID
	//使用TH32CS_SNAPMODULE参数,获取加载到notepad进程的DLL名称
	hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwPID);

	//此函数检索与进程相关联的第一个模块的信息
	bMore=Module32First(hSnapshot,&me);

	for(;bMore;bMore=Module32Next(hSnapshot,&me))
	{
		if(!_tcsicmp((LPCTSTR)me.szModule,szDllName)||!_tcsicmp((LPCTSTR)me.szExePath,szDllName))
		{
			bFound=TRUE;
			break;
		}
	}

	if(!bFound)
	{
		CloseHandle(hSnapshot);
		return FALSE;
	}

	if(!(hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPID)))
	{
		_tprintf(L"OpenProcess(%d) failed!!![%d]\n",dwPID,GetLastError);
		return FALSE;
	}

	hModule=GetModuleHandle(L"kernel32.dll");
	pThreadProc=(LPTHREAD_START_ROUTINE)GetProcAddress(hModule,"FreeLibrary");
	//modBaseAddr模块基址
	hThread=CreateRemoteThread(hProcess,NULL,0,pThreadProc,me.modBaseAddr,0,NULL);

	WaitForSingleObject(hThread,INFINITE);

	CloseHandle(hThread);
	CloseHandle(hProcess);
	CloseHandle(hSnapshot);

	return TRUE;
}
int _tmain(int argc, _TCHAR* argv[])
{
	DWORD dwPID=0xFFFFFFFF;
	//查找process
	dwPID=FindProcessID(DEF_PROC_NAME);
	if(dwPID==0xFFFFFFFF)
	{
		_tprintf(L"There is no %s process!\n",DEF_PROC_NAME);
		return 1;
	}
	_tprintf(L"PID of \"%s\" is %d\n",DEF_PROC_NAME,dwPID);

	//更改privilege
	if(!SetPrivilege(SE_DEBUG_NAME,TRUE))
		return 1;
	if(EjectDll(dwPID,DEF_DLL_NAME))
		_tprintf(L"EjectDll(%d,\"%s\") success!!!\n",dwPID,DEF_DLL_NAME);
	else
		_tprintf(L"EjectDll(%d,\"%s\") failed!!!\n",dwPID,DEF_DLL_NAME);
	return 0;
}

wangtiankuo
关注
专栏目录
逆向工程核心原理》学习笔记5 PE文件学习——PE头核心IAT,EAT
EloflyS的博客
02-19 652
逆向工程核心原理》学习笔记5 PE头核心——IAT,EAT 1.IAT——导入地址表 用于记录程序正在使用哪些库的哪些函数的表格。
DLL卸载
Mi1k7ea
06-23 4145
DLL卸载DLL卸载DLL Ejection)是将强制插入进程的DLL弹出的一种技术,原理是驱使目标进程调用FreeLibrary() API,即将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数并把要卸载DLL的句柄传递给lpParameter参数。注意:使用FreeLibrary() API实现DLL卸载,仅适用于卸载...
逆向工程核心原理DLL注入】
qq_42363151的博客
03-29 733
在注册表编辑器中,将要注人的DLL的路径字符串写人AppInit DLLs项目,然后把LoadAppInit DLLs的项目值设置为1。3、重启系统会发现所有加载user32.dll的进程都注入了myhack2.dll,如果打开notepad还会启动 IE。实验成功前提:notepad的kernel32.dll和InjectDll的地址一样。编辑修改AppInit_ DLLs表项的值,输人myhack2.dII的完整路径。被注入的DLL就干了两件事,一个是输出了一串字符串,二是下载了一个网页。
逆向工程核心原理 Chapter23 | DLL注入
最新发布
ULGANOY的博客
09-02 1188
逆向工程核心原理第23章学习记录
逆向工程核心原理》----第24章DLL卸载
qq_55785697的博客
04-24 302
DLL注入使用LoadLibrary一样,DLL卸载需要使用FreeLibrary。 1.使用CreateToolhelp32Snapeshoot()API获取加载到进程中的dll信息 2.提权,LookupPrivilegeValue()可以查看权限,AdjustTookenPrivilege()可以禁用/启用函数 提权相关函数_爱沧海的博客-CSDN博客 提权函数的相关链接 3.之后同DLL注入过程类似,获取进程句柄,获取FreeLibrary()地址,创建远程线程 <注>这种方
dll注入及卸载实践
weixin_30781775的博客
01-19 240
三种方法:具体详见《逆向工程核心原理》。 1、创建远程线程CreateRemoteThread() 2、使用注册表AppInit_DLLs 3、消息钩取SetWindowsHookEx() 一、远程线程(注意将szPATH数组建在函数中会出现栈溢出,需要建立全局变量) #include "windows.h" #include "tchar.h" #pragma comm...
逆向工程dll注入基础
Starr
08-01 877
第三部分-dll注入-上 文章目录第三部分-dll注入-上21. windows消息钩取21.2 消息钩子21.3 SetWindowsHookEx21.5.1 调试23. dll注入CreateRemoteThread()AppInit_DLLsSetWindowsHookEx24. dll卸载原理实现 21. windows消息钩取 偷看或操作信息的行为就是钩取(hooking),其中最基本的...
逆向工程核心原理——消息钩取
weixin_46601374的博客
12-07 4211
钩子(HOOK) 英文Hook一词,翻成中文是“钩子”、“鱼钩”的意思,泛指钓取所需东西而使用的一切工 具。“钩子”这一基本含义延伸发展为“偷看或截取信息时所用的手段或工具”。下面举例向各位 进一步说明“钩子”这一概念。 消息钩取 Windows操作系统向用户提供GUI (Graphic User Interface,图形用户界面),它以事件驱动 (Event Driven)方式工作。在操作系统中借助键盘、鼠标,选择菜单、按钮,以及移动鼠标、改 变窗口大小与位置等都是事件(Event )o发生这样的事
【逆向】【Part 3】DLL注入
lanlanla的成长历程
01-08 1783
目录 一、通过自制调试器来理解其原理 1.调试器的工作原理 实现反汇编功能(重点) 重点分析exception_debug_event 重点:1.对调试器程序增加异常处理操作功能,核心API,CONTEXT结构 二、DLL注入 重点:2.DLL注入的三种基本方法 1.利用全局消息钩子(Windos消息钩取( SetWindowsHookEx() API )) 2.写注册表 3...
易语言DLL隐藏模块
07-18
7. **代码混淆**:为了增加逆向工程的难度,易语言的源码可能经过混淆处理,使得代码难以阅读和理解。 8. **模块管理**:在程序设计中,可能涉及到模块的生命周期管理,包括加载、初始化、执行和卸载等步骤,确保...
记一次逆向工程作业(汇编windows编程)
Rorschach____的博客
01-17 2458
(1)strlen(char *s) .386 .model flat, stdcall include kernel32.inc includelib kernel32.lib include msvcrt.inc includelib msvcrt.lib .data szText db "Reverse Engineering", 0 format db "length = %
DLL隐藏和逆向
m0_75243362的博客
11-08 2000
DLL注入新手详解示例
逆向工程核心原理之通过修改PE加载DLL
wangtiankuo的博客
07-02 728
1.1       给TextView.exe添加myhack3.dll1.1.1       查看IDT是否有地方再加一个dll查看IDT,发现没有地方再添加一个dll了,需要移动IDT到更大的地方。在文件中找一个空白的区域,将IDT移动过去。.rdata区域,从0x8C60后就是NULL了。但是,填充着NULL不一定意味着该区域是空白可用区域,因此要确定该区域是否为空白可用区域。内存中节区起始...
逆向工程核心原理——DLL注入——创建远程线程
weixin_46601374的博客
11-16 3460
什么是DLL注入? dll注入是一种将Windows动态链接库注入到目标进程中的技术,具体的说,就是将dll文件加载到一个进程的虚拟地址空间中。对某个进程进行dll注入,也就意味着dll模块与该进程共用一个进程空间,则这个dll文件就有了操纵这个进程空间的能力,以达到执行dll模块中的代码修改进程数据的能力。dll注入技术在逆向工程,病毒,外挂,调试等技术领域都有广泛的应用,它也是Windows API hook技术的基础。 改善功能与修复Bug改善功能与修复Bug DLL注入技术可用于改善功.
DLL逆向的文章
weixin_30393907的博客
09-01 360
https://www.cnblogs.com/ljyzl123/p/6076918.html http://blog.fwhyy.com/2016/03/csharp-with-signature-dll-crack/?utm_source=tuicool&utm_medium=referral 转载于:https://www.cnblogs.com/0x03/p/7461779.ht...
dll反复加载卸载过程中遇见的诡异问题
weixin_30725315的博客
04-12 777
这两天遇见了个诡异的问题,扩展进程反复的加载和卸载一个插件的dll的时候,扩展会在启动的时候崩溃。   通过windbg查看崩溃栈: 0:024> kbChildEBP RetAddr Args to Child WARNING: Frame IP not in any known module. Following frames may be wrong.02c6f7d4 ...
DLL动态库多次加载问题
diaomo9737的博客
01-22 5092
原因涉及DLL加载和运行机制,主要有两点:1)DLL动态链接库无法独立运行,必须由一个应用程序进程加载到进程空间后才能使用。加载DLL的进程称为宿主进程。被加载的DLL属于宿主进程,不属于宿主进程内某个线程。2)宿主进程可以重复调用,甚至重复加载DLL。第1次调用DLL或第1次加载DLL时,宿主进程将DLL引入进程空间。一旦宿主进程成功加载DLL,随后的重复调用或重复加载只会增加“引用计...
逆向工程核心原理》学习笔记(三):DLL注入
闵行小鱼塘
05-18 3689
继续学习《逆向工程核心原理》,本篇笔记是第三部分:DLL注入,主要包括三种DLL注入、DLL卸载、修改PE、代码注入等内容
揭示逆向工程实战:简单crackme剖析
逆向工程是信息安全领域的重要技能,它涉及对软件代码的反向分析,以便理解其内部工作原理、查找潜在漏洞或实现功能逆向设计。本文以一个简单的crackme程序为例,深入解析逆向工程的过程和技术。 首先,逆向工程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值