远程注入代码

原文转自:http://tb.blog.csdn.net/TrackBack.aspx?PostId=1791610

轻松玩转CreateRemoteThread

CreateRemoteThread提供了一个在远程进程中执行代码的方法,就像代码长出翅膀飞到别处运行。本文将做一个入门介绍,希望对广大编程爱好者有所帮助。

先解释一下远程进程,其实就是要植入你的代码的进程,相对于你的工作进程(如果叫本地进程的话)它就叫远程进程,可理解为宿主。

首先介绍一下我们的主要工具CreateRemoteThread,这里先将函数原型简单介绍以下。

CreateRemoteThread可将线程创建在远程进程中。

函数原型
HANDLE CreateRemoteThread(
  HANDLE hProcess,                          // handle to process
  LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD
  SIZE_T dwStackSize,                       // initial stack size
  LPTHREAD_START_ROUTINE lpStartAddress,    // thread function
  LPVOID lpParameter,                       // thread argument
  DWORD dwCreationFlags,                    // creation option
  LPDWORD lpThreadId                        // thread identifier
);
参数说明:
hProcess
[输入] 进程句柄
lpThreadAttributes
[输入] 线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针
dwStackSize
[输入] 线程栈大小,以字节表示
lpStartAddress
[输入] 一个LPTHREAD_START_ROUTINE类型的指针,指向在远程进程中执行的函数地址
lpParameter
[输入] 传入参数
dwCreationFlags
[输入] 创建线程的其它标志

lpThreadId
[输出] 线程身份标志,如果为NULL,则不返回

返回值
成功返回新线程句柄,失败返回NULL,并且可调用GetLastError获得错误值。

接下来我们将以两种方式使用CreateRemoteThread,大家可以领略到CreateRemoteThread的神通,它使你的代码可以脱离你的进程,植入到别的进程中运行。


 第一种方式
 

第一种方式,我们使用函数的形式。即我们将自己程序中的一个函数植入到远程进程中。

步骤1:首先在你的进程中创建函数MyFunc,我们将把它放在另一个进程中运行,这里以windows

计算器为目标进程。
static DWORD WINAPI MyFunc (LPVOID pData)
{
//do something
//...
//pData输入项可以是任何类型值
//这里我们会传入一个DWORD的值做示例,并且简单返回
return *(DWORD*)pData;
}
static void AfterMyFunc (void) {
}
这里有个小技巧,定义了一个static void AfterMyFunc (void);为了下面确定我们的代码大小

步骤2:定位目标进程,这里是一个计算器
HWND hStart = ::FindWindow (TEXT("SciCalc"),NULL);

步骤3:获得目标进程句柄,这里用到两个不太常用的函数(当然如果经常做线程/进程等方面的 项目的话,就很面熟了),但及有用
DWORD PID, TID;
TID = ::GetWindowThreadProcessId (hStart, &PID);

HANDLE hProcess;
hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,PID);

步骤4:在目标进程中配变量地址空间,这里我们分配10个字节,并且设定为可以读

写PAGE_READWRITE,当然也可设为只读等其它标志,这里就不一一说明了。
char szBuffer[10];
*(DWORD*)szBuffer=1000;//for test
void *pDataRemote =(char*) VirtualAllocEx( hProcess, 0, sizeof(szBuffer), MEM_COMMIT,

PAGE_READWRITE );

步骤5:写内容到目标进程中分配的变量空间
::WriteProcessMemory( hProcess, pDataRemote, szBuffer,(sizeof(szBuffer),NULL);

步骤6:在目标进程中分配代码地址空间
计算代码大小
DWORD cbCodeSize=((LPBYTE) AfterMyFunc - (LPBYTE) MyFunc);
分配代码地址空间
PDWORD pCodeRemote = (PDWORD) VirtualAllocEx( hProcess, 0, cbCodeSize, MEM_COMMIT,

PAGE_EXECUTE_READWRITE );

步骤7:写内容到目标进程中分配的代码地址空间
WriteProcessMemory( hProcess, pCodeRemote, &MyFunc, cbCodeSize, NULL);

步骤8:在目标进程中执行代码

HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE) pCodeRemote,
pDataRemote, 0 , NULL);
DWORD h;
if (hThread)
{
::WaitForSingleObject( hThread, INFINITE );
::GetExitCodeThread( hThread, &h );
TRACE("run and return %d/n",h);
::CloseHandle( hThread );
}

这里有几个值得说明的地方:
使用WaitForSingleObject等待线程结束;
使用GetExitCodeThread获得返回值;
最后关闭句柄CloseHandle。

步骤9:清理现场

释放空间
::VirtualFreeEx( hProcess, pCodeRemote,
                cbCodeSize,MEM_RELEASE );

::VirtualFreeEx( hProcess, pDataRemote,
                cbParamSize,MEM_RELEASE );

关闭进程句柄
::CloseHandle( hProcess );


 

第二种方式
 

第二种方式,我们使用动态库的形式。即我们将自己一个动态库植入到远程进程中。

这里不再重复上面相同的步骤,只写出其中关键的地方.
关键1:
在步骤5中将动态库的路径作为变量传入变量空间.
关键2:
在步骤8中,将GetProcAddress作为目标执行函数.

hThread = ::CreateRemoteThread( hProcess, NULL, 0,
            (LPTHREAD_START_ROUTINE )::GetProcAddress(
             hModule, "LoadLibraryA"),
             pDataRemote, 0, NULL );


另外在步骤9,清理现场中首先要先进行释放我们的动态库.也即类似步骤8执行函数FreeLibrary

hThread = ::CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE )::GetProcAddress(
hModule, "FreeLibrary"),
(void*)hLibModule, 0, NULL );

好了,限于篇幅不能够介绍的很细,在使用过程中如有疑问可向作者咨询.(开发环境:windows2000/vc6.0)

 
 我的使用createremotethread控制excel右键的源程序

利用CreateRemoteThread将dll写进excel.exe.利用SetWindowLong()改变excel中右键消息。dll源程序:#include <windows.h>

BOOL __stdcall DllMain(HANDLE,DWORD,LPVOID)
{
 return TRUE;
}
/*
#pragma data_seg("shared")
#pragma data_seg()
#pragma comment(linker,"/SECTION:shared,rws")
*/
WNDPROC g_lpfnOldWndProc;
HWND    g_hMsgWnd;
LRESULT APIENTRY HookExcelWndProc(HWND hWnd, UINT wMessage , WPARAM wParam, LPARAM lParam)
{
 try
 {
  switch (wMessage)
  {
  case WM_RBUTTONDOWN:
   MessageBox(g_hMsgWnd,"u click the r button","",MB_OK);
   return 1;
   break;
  case WM_CLOSE:
   ::ExitProcess (0);
   break;
  
  default:
   if (NULL == g_lpfnOldWndProc)
    return DefWindowProc(hWnd,wMessage,wParam,lParam);
   else
    return CallWindowProc(g_lpfnOldWndProc,hWnd,wMessage,wParam,lParam);
  }
 }
 catch(...)
 {
 }
 return 0;
}
LRESULT __stdcall HookExcelRightMenu(HWND hwnd)
{
 g_hMsgWnd = hwnd;
 g_lpfnOldWndProc=(WNDPROC)::SetWindowLong(hwnd,GWL_WNDPROC,(LONG)HookExcelWndProc);
    MSG msg;
 while( ::GetMessage( &msg, NULL, 0, 0 ))
 {
  TranslateMessage(&msg);
  DispatchMessage(&msg); 
 }
 return TRUE;
}
注入进程源程序:#include <windows.h>
#include <tlhelp32.h>
const int MAXINJECTSIZE = 10240;
typedef HMODULE (__stdcall  * LPLOADLIBRARY)(LPCTSTR);
typedef FARPROC (__stdcall * LPGETPROCADDRESS)(HMODULE,LPCTSTR);
typedef BOOL    (__stdcall * LPFREELIBRARY)(HMODULE);
typedef LRESULT (__stdcall * LPHookExcelRightMenu)(HWND);
typedef struct
{
 LPLOADLIBRARY  prcLoadLib;
 LPGETPROCADDRESS prcGetProcAddr;
 LPFREELIBRARY  prcFreeLib;
 TCHAR    szLibPath[MAX_PATH+1];
 HWND                hInjectWnd;
}INJECT_DLL,*LPINJECT_DLL;
DWORD GetProcessIdFromName(LPCTSTR name)
{
   PROCESSENTRY32 pe;
 DWORD id = 0;
 HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
 pe.dwSize = sizeof(PROCESSENTRY32);
 if( !Process32First(hSnapshot,&pe) )
  return 0;
 do
 {
  pe.dwSize = sizeof(PROCESSENTRY32);
  if( Process32Next(hSnapshot,&pe)==FALSE )
   break;
  if(stricmp(pe.szExeFile,name) == 0)
  {
   id = pe.th32ProcessID;
   break;
  }
 
 } while(1);
 CloseHandle(hSnapshot);
 return id;
}
void EnableDebugPriv( void )
{
 HANDLE hToken;
 LUID sedebugnameValue;
 TOKEN_PRIVILEGES tkp;
 
 if ( ! OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )
  return;
 if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) )
 {
  CloseHandle( hToken );
  return;
 }
 tkp.PrivilegeCount = 1;
 tkp.Privileges[0].Luid = sedebugnameValue;
 tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
  CloseHandle( hToken );
}
#pragma check_stack(off)
static DWORD __stdcall ControlExcelThread(LPVOID lpVoid)
{
 try
 {
  LPINJECT_DLL lpInject = (LPINJECT_DLL)lpVoid;
  if (NULL == lpInject)
   return -1;
  HMODULE hMod = lpInject->prcLoadLib(lpInject->szLibPath);
  if (NULL == hMod)
   return -2;
  LPHookExcelRightMenu  lpHookExcelRightMenu;
  lpHookExcelRightMenu = (LPHookExcelRightMenu)lpInject ->prcGetProcAddr (hMod,MAKEINTRESOURCE(1));
  if ( !lpHookExcelRightMenu)
  {
   lpInject ->prcFreeLib (hMod);
   return -3;
  }
  lpHookExcelRightMenu(lpInject->hInjectWnd);
  lpInject ->prcFreeLib (hMod);
 }
 catch(...)
 {
  return -1;
 }
 return 0;
}
#pragma check_stack(on)
LRESULT InJectDllIntoProcess(LPCSTR pstrProcessName,HWND hwnd)
{
 DWORD dwProcessID = 0;
// dwProcessID=GetProcessIdFromName(pstrProcessName);
 GetWindowThreadProcessId(hwnd,&dwProcessID);
 if ( dwProcessID < 1)
  return -1;
 EnableDebugPriv();
 HANDLE hInjectTarget =  OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessID);
 if (!hInjectTarget)
  return -2;
 INJECT_DLL pstInjectDll ;
 memset(&pstInjectDll,0x0,sizeof(INJECT_DLL));
 HMODULE   hModule = ::LoadLibrary (TEXT("kernel32"));
 if (!hModule)
  return -3;
 pstInjectDll.prcLoadLib = (LPLOADLIBRARY)::GetProcAddress(hModule,TEXT("LoadLibraryA"));
 pstInjectDll.prcFreeLib = (LPFREELIBRARY)::GetProcAddress(hModule,TEXT("FreeLibrary"));
 pstInjectDll.prcGetProcAddr = (LPGETPROCADDRESS)::GetProcAddress (hModule,TEXT("GetProcAddress"));
 pstInjectDll.hInjectWnd = hwnd;
 lstrcpy(pstInjectDll.szLibPath ,TEXT("E://KDCP//backup//dll//injectdll//debug//injectdll.dll"));
 LPBYTE lpExcelAddr = (LPBYTE)::VirtualAllocEx (hInjectTarget,NULL,MAXINJECTSIZE,MEM_COMMIT, PAGE_EXECUTE_READWRITE);
 LPINJECT_DLL param = (LPINJECT_DLL) VirtualAllocEx( hInjectTarget, 0, sizeof(INJECT_DLL), MEM_COMMIT, PAGE_READWRITE );
 WriteProcessMemory(hInjectTarget,lpExcelAddr,&ControlExcelThread,MAXINJECTSIZE,0);
 WriteProcessMemory(hInjectTarget,param,&pstInjectDll,sizeof(INJECT_DLL),0);
 DWORD dwThreadId = 0;
 HANDLE hInjectThread;
 try
 {
  hInjectThread= ::CreateRemoteThread (hInjectTarget,NULL,0,(LPTHREAD_START_ROUTINE)lpExcelAddr,param,0,&dwThreadId);
 }
 catch(...)
 {
 }
 if (!hInjectThread)
  dwThreadId = ::GetLastError ();
 else
  CloseHandle(hInjectThread);
 CloseHandle(hInjectTarget);
 ::VirtualFreeEx (hInjectTarget,lpExcelAddr,0,MEM_RELEASE);
 ::VirtualFreeEx (hInjectTarget,param,0,MEM_RELEASE);
 return 0;
}
void main()
{
 HWND hwnd;
 hwnd = FindWindowEx(NULL,NULL,"XLMAIN",NULL);
 if (hwnd)
 {
  hwnd = FindWindowEx(hwnd,NULL,"XLDESK",NULL);
  if (hwnd)
  {
   hwnd = FindWindowEx(hwnd,NULL,"EXCEL7",NULL);
   InJectDllIntoProcess("excel.exe",hwnd);
  }
 }
}

 

 揭开病毒的奥秘 DLL的远程注入技术详解
 
 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中, 
在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,  因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,  用户也就无法在资源管理器中删除这个DLL文件,真可谓一箭双雕哉。记得2003年QQ尾巴病毒肆虐的时候,就已经有些尾巴病毒的变种在使用这种技术了。 到了2004年初,我曾经尝试着仿真了一个QQ尾巴病毒,但独是跳过了DLL的远程加载技术。 直到最近在学校论坛上看到了几位朋友在探讨这一技术,便忍不住将这一尘封已久的技术从我的记忆中拣了出来,以满足广大的技术爱好者们。  
必备知识  
  在阅读本文之前,你需要了解以下几个API函数: 

  ·OpenProcess - 用于打开要寄生的目标进程。 

  ·VirtualAllocEx/VirtualFreeEx - 用于在目标进程中分配/释放内存空间。 

  ·WriteProcessMemory - 用于在目标进程中写入要加载的DLL名称。 

  ·CreateRemoteThread - 远程加载DLL的核心内容,用于控制目标进程调用API函数。 

  ·LoadLibrary - 目标进程通过调用此函数来加载病毒DLL。 

  在此我只给出了简要的函数说明,关于函数的详细功能和介绍请参阅MSDN。 

  示例程序 

  我将在以下的篇幅中用一个简单的示例Virus.exe来实现这一技术。这个示例的界面如下图: 

首先运行Target.exe,这个文件是一个用Win32 Application向导生成的“Hello, World”程序,用来作为寄生的目标进程。 

  然后在界面的编辑控件中输入进程的名称“Target.exe”,单击“注入DLL”按钮,这时候Virus.exe就会将当前目录下的DLL.dll注入至Target.exe进程中。 

  在注入DLL.dll之后,你也可以单击“卸载DLL”来将已经注入的DLL卸载。 

  模拟的病毒体DLL.dll 

  这是一个简单的Win32 DLL程序,它仅由一个入口函数DllMain组成: 

BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved ) 
...{ 
 switch ( fdwReason ) 
 ...{ 
  case DLL_PROCESS_ATTACH: 
  ...{ 
   MessageBox( NULL, _T("DLL已进入目标进程。"), _T("信息"), MB_ICONINFORMATION ); 
  } 
  break; 
  case DLL_PROCESS_DETACH: 
  ...{ 
   MessageBox( NULL, _T("DLL已从目标进程卸载。"), _T("信息"), MB_ICONINFORMATION ); 
  } 
  break; 
 } 
 return TRUE; 
}  

  如你所见,这里我在DLL被加载和卸载的时候调用了MessageBox,这是用来显示我的远程注入/ 卸载工作是否成功完成。而对于一个真正的病毒体来说, 它往往就是处理DLL_PROCESS_ATTACH事件,在其中加入了启动病毒代码的部分: 

case DLL_PROCESS_ATTACH: 

 StartVirus(); 

break;  
注入! 

  现在要开始我们的注入工作了。首先,我们需要找到目标进程: 

DWORD FindTarget( LPCTSTR lpszProcess ) 
...{ 
 DWORD dwRet = 0; 
 HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); 
 PROCESSENTRY32 pe32; 
 pe32.dwSize = sizeof( PROCESSENTRY32 ); 
 Process32First( hSnapshot, &pe32 ); 
 do 
 ...{ 
  if ( lstrcmpi( pe32.szExeFile, lpszProcess ) == 0 ) 
  ...{ 
   dwRet = pe32.th32ProcessID; 
   break; 
  } 
 } while ( Process32Next( hSnapshot, &pe32 ) ); 
 CloseHandle( hSnapshot ); 
 return dwRet; 
}  

   这里我使用了Tool Help函数库,当然如果你是NT系统的话,也可以选择PSAPI函数库。这段代码的目的就是通过给定的进程名称来在当前系统中查找相应的进程,并返回该进程的ID。得到进程ID后,就可以调用OpenProcess来打开目标进程了: 

// 打开目标进程 
HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | 
 PROCESS_VM_WRITE, FALSE, dwProcessID );  

  现在有必要说一下OpenProcess第一个参数所指定的三种权限。在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都相互独立。如果一个进程需要完成跨进程的工作的话,那么它必须拥有目标进程的相应操作权限。在这里,PROCESS_CREATE_THREAD表示我可以通过返回的进程句柄在该进程中创建新的线程,也就是调用CreateRemoteThread的权限;同理,PROCESS_VM_OPERATION则表示在该进程中分配/释放内存的权限,也就是调用VirtualAllocEx/VirtualFreeEx的权限;PROCESS_VM_WRITE表示可以向该进程的地址空间写入数据,也就是调用WriteProcessMemory的权限。 

  至此目标进程已经打开,那么我们该如何来将DLL注入其中呢?在这之前,我请你看一行代码,是如何在本进程内显式加载DLL的: 

HMODULE hDll = LoadLibrary( "DLL.dll" );  

  那么,如果能控制目标进程调用LoadLibrary,不就可以完成DLL的远程注入了么?的确是这样,我们可以通过CreateRemoteThread将LoadLibrary作为目标进程的一个线程来启动,这样就可以完成“控制目标进程调用LoadLibrary”的工作了。到这里,也许你会想当然地写下类似这样的代码: 

DWORD dwID; 
LPVOID pFunc = LoadLibraryA; 
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, 
 (LPTHREAD_START_ROUTINE)pFunc,  
(LPVOID)"DLL.dll", 0, &dwID );  

  不过结果肯定会让你大失所望——注入DLL失败! 

  那么现在让我们来分析一下失败的原因吧。我是前说过,在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。在这里,我们当作参数传入的字符串"DLL.dll"其实是一个数值,它表示这个字符串位于Virus.exe地址空间之中的地址,而这个地址在传给Target.exe之后,它指向的东西就失去了有效性。举个例子来说,譬如A、B两栋大楼,我住在A楼的401;那么B楼的401住的是谁我当然不能确定——也就是401这个门牌号在B楼失去了有效性,而且如果我想要入住B楼的话,我就必须请B楼的楼长为我在B楼中安排新的住处(当然这个新的住处是否401也就不一定了)。 

  由此看来,我就需要做这么一系列略显繁杂的手续——首先在Target.exe目标进程中分配一段内存空间,然后向这段空间写入我要加载的DLL名称,最后再调用CreateRemoteThread。这段代码就成了这样: 

// 向目标进程地址空间写入DLL名称 
DWORD dwSize, dwWritten; 
dwSize = lstrlenA( lpszDll ) + 1; 
LPVOID lpBuf = VirtualAllocEx( hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE ); 
if ( NULL == lpBuf ) 
...{ 
 CloseHandle( hProcess ); 
 // 失败处理 

if ( WriteProcessMemory( hProcess, lpBuf, (LPVOID)lpszDll, dwSize, &dwWritten ) ) 
...{ 
 // 要写入字节数与实际写入字节数不相等,仍属失败 
 if ( dwWritten != dwSize ) 
 ...{ 
  VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT ); 
  CloseHandle( hProcess ); 
  // 失败处理 
 } 

else 
...{ 
 CloseHandle( hProcess ); 
 // 失败处理 

// 使目标进程调用LoadLibrary,加载DLL 
DWORD dwID; 
LPVOID pFunc = LoadLibraryA; 
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0,  
(LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, &dwID );  
 需要说的有两点,一是由于我要在目标进程中为ANSI字符串来分配内存空间,所以这里凡是和目标进程相关的部分,都明确使用了后缀为“A”的API函数——当然,如果要使用Unicode字符串的话,可以换作后缀是“W”的API;第二,在这里LoadLibrary的指针我是取的本进程的LoadLibraryA的地址,这是因为LoadLibraryA/LoadLibraryW位于kernel32.dll之中,而Win32下每个应用程序都会把kernel32.dll加载到进程地址空间中一个固定的地址,所以这里的函数地址在Target.exe中也是有效的。在调用LoadLibrary完毕之后,我们就可以做收尾工作了: 

// 等待LoadLibrary加载完毕 
WaitForSingleObject( hThread, INFINITE ); 
// 释放目标进程中申请的空间 
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT ); 
CloseHandle( hThread ); 
CloseHandle( hProcess );  

  在此解释一下WaitForSingleObject一句。由于我们是通过CreateRemoteThread在目标进程中另外开辟了一个LoadLibrary的线程,所以我们必须等待这个线程运行完毕才能够释放那段先前申请的内存。 

  好了,现在你可以尝试着整理这些代码并编译运行。运行Target.exe,然后开启一个有模块查看功能的进程查看工具(在这里我使用我的July)来查看Target.exe的模块,你会发现在注入DLL之前,Target.exe中并没有DLL.dll的存在: 
  在调用了注入代码之后,DLL.dll就位于Target.exe的模块列表之中了: 

  矛盾相生 

  记得2004年初我将QQ尾巴病毒成功仿真后,有很多网友询问我如何才能杀毒,不过我都没有回答——因为当时我研究的重点并非病毒的寄生特性。这一寄生特性直到今天可以说我才仿真完毕,那么,我就将解毒的方法也一并公开吧。 

  和DLL的注入过程类似,只不过在这里使用了两个API:GetModuleHandle和FreeLibrary。出于篇幅考虑,我略去了与注入部分相似或相同的代码: 

// 使目标进程调用GetModuleHandle,获得DLL在目标进程中的句柄 
DWORD dwHandle, dwID; 
LPVOID pFunc = GetModuleHandleA; 
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE) 
pFunc, lpBuf, 0, &dwID ); 
// 等待GetModuleHandle运行完毕 
WaitForSingleObject( hThread, INFINITE ); 
// 获得GetModuleHandle的返回值 
GetExitCodeThread( hThread, &dwHandle ); 
// 释放目标进程中申请的空间 
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT ); 
CloseHandle( hThread ); 
// 使目标进程调用FreeLibrary,卸载DLL 
pFunc = FreeLibrary; 
hThread = CreateRemoteThread( hProcess, NULL, 0, 
 (LPTHREAD_START_ROUTINE)pFunc, 
 (LPVOID)dwHandle, 0, &dwID ); 
// 等待FreeLibrary卸载完毕 
WaitForSingleObject( hThread, INFINITE ); 
CloseHandle( hThread ); 
CloseHandle( hProcess );  


 用这个方法可以卸载一个进程中的DLL模块,当然包括那些非病毒体的DLL。所以,这段代码还是谨慎使用为好。 

  在完成卸载之后,如果没有别的程序加载这个DLL,你就可以将它删除了。

 
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值