DLL卸载

最新推荐文章于 2025-02-10 14:32:35 发布
最新推荐文章于 2025-02-10 14:32:35 发布
阅读量4.2k 收藏 6
点赞数
分类专栏: Windows 逆向 文章标签: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SKI_12/article/details/80780830
版权
DLL卸载,又称DLL Ejection,是通过调用FreeLibrary() API实现的。该技术适用于卸载由自身注入的DLL,而非进程直接导入的DLL。文章介绍了如何编写DLL卸载程序EjectDll.exe,通过示例演示了如何卸载注入到notepad.exe的myhack.dll,成功实现了DLL的卸载。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DLL卸载

DLL卸载(DLL Ejection)是将强制插入进程的DLL弹出的一种技术,原理是驱使目标进程调用FreeLibrary() API,即将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数并把要卸载的DLL的句柄传递给lpParameter参数。

注意:使用FreeLibrary() API实现DLL卸载,仅适用于卸载自己强制注入的DLL文件。PE文件直接导入的DLL文件是无法在进程运行过程中卸载的。


编写DLL卸载程序

下面编写针对之前DLL注入编写的InjectDll.exe和myhack.dll的DLL卸载程序EjectDll.exe程序。当然想卸载指定进程的指定DLL文件时只需修改代码中常量定义部分即可。

//EjectDll.cpp

#include "windows.h"
#include "tchar.h"
#include "tlhelp32.h"

//定义目标进程名和目标DLL文件名常量
#define DEF_PROC_NAME (L"notepad.exe")
#define DEF_DLL_NAME (L"myhack.dll")

//查看设置权限
BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege){

	TOKEN_PRIVILEGES tp;
    HANDLE hToken;
    LUID luid;

    //获取进程Token
	if( !OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) ){
		_tprintf(L"[-]OpenProcessToken error: %u\n&#
最低0.47元/天 解锁文章
VB.rar_VB_dll卸载_mdlFakeBarCode.bas_vb dll
09-21
标题中的"VB.rar_VB_dll卸载_mdlFakeBarCode.bas_vb dll"暗示了这是一个与Visual Basic(VB)编程相关的压缩包,涉及到DLL动态链接库的管理和一个名为mdlFakeBarCode.bas的源代码文件。DLL是Windows操作系统中用于...
易语言DLL卸载
07-21
易语言DLL卸载是一种编程技术,主要用于动态链接库(DLL)在完成其功能后自动从内存中卸载。在Windows操作系统中,DLL文件被广泛使用,它们提供可重用的代码和数据,多个程序可以共享同一份资源,从而节省系统资源...
DLL 卸载自身
马说@优快云
04-23 9684
原文链接:http://www.titilima.cn/show-547-1.html 今天的问题是:有没有可能让一个 DLL 自己卸载自己?这个问题可以分成两个部分:卸载一个 DLL卸载 DLL 的代码应该是放在 DLL之中的。当然,如果不考虑后果的话,这个代码并不难写,如下:#include HMODULE g_hDll = NULL;DW
Windows系统如何删除顽固的dll文件
最新发布
weixin_43429657的博客
02-10 510
在删除安装包文件的时候,经常会遇到dll无法删除的情况,看样子是有进程正在占用导致无法删除 1.管理员打开cmd,进入到要删除文件的所在目录 2.例如我要删除的文件是“rcmdsdk64.dll”,执行指令:,找到进程号4848 3.杀掉4848这个进程,执行指令: 4.删除dll文件,执行指令:,没有返回则代表删除成功
DLL 自动卸载自身
Never too late to study
06-23 3160
有没有可能让一个 DLL 自己卸载自己? 这个问题可以分成两个部分: 卸载一个 DLL卸载 DLL 的代码应该是放在 DLL之中的。 当然,如果不考虑后果的话,这个代码并不难写,如下: view plaincopy to clipboardprint? #include HMODULE g_hDll = NULL;   DWORD WINAPI UnloadPr
逆向工程核心原理 Chapter24 | DLL卸载
ULGANOY的博客
09-03 1137
逆向工程核心原理第24章学习记录
易语言DLL卸载源码-易语言
06-13
DLL卸载机制需要在DLL内部实现,一般通过在DLL的导出函数中设置特定的卸载逻辑来完成。当调用这些导出函数的最后一个实例被释放时,DLL会检测到这一情况并触发卸载过程。 在易语言中,创建DLL并实现自卸载的过程...
卸载Dll
qiuxue110的专栏
04-02 671
BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName) { BOOL bMore = FALSE, bFound = FALSE; HANDLE hSnapshot, hProcess, hThread; HMODULE hModule = NULL; MODULEENTRY32 me = { sizeof(me) }; LPTHREAD_START_ROUTINE pThreadProc; // dwPID = 传入的进程id // 使用 TH32CS.
DLL注入与卸载
05-22
实现window系统下的DLL注入与卸载
实现DLL的注入与卸载
05-07
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/wzxq123/article/details/514
怎样卸载外壳扩展的DLL?
weixin_34087301的博客
01-08 643
第一步:用MoveFileEx(Source,   Dest,   MOVEFILE_REPLACE_EXISTING)将文件移到一个临时目录下。(原来正在使用的Dll是可以被移动的   :)   )       第二步:用MoveFileEx(Source,   nil,   MOVEFILE_DELAY_UNTIL_REBOOT)在下一次开机时删除临时目录下的Dll       第三步:拷贝新...
DLL卸载自身 -- FreeLibraryAndExitThread()
wzxiaodu的专栏
08-19 1278
实际问题: DLL是MFC的DLL, 我在这个DLL的初始化函数中创建了一个对话框窗口, 如何在dll中操作实现结束dll当前的线程和释放掉dll. 比如在窗口(模态对话框)关闭后结束线程, 释放dll. kernel32.dll里有个函数叫FreeLibraryAndExitThread 就是专门给你做这种事情用的: 正常情况下你调用FreeLibrary来释放当前执行的代码所在的DLL会导致FreeLibrary返回以后无法继续执行之后的代码(DLL已经释放了) 而这个函数会在FreeLibrary.
DLL卸载自身
十年磨一剑,霜刃未曾试!
01-06 1825
如果使用 FreeLibrary卸载自身DLL的话会出现一个问题,在 FreeLibrary 之后,该 DLL 的地址空间就不再可用了,但这时 EIP 指针仍然会指向 FreeLibrary 的下面一句,于是程序就会崩溃。所幸,Win32 提供了另外的一个 API——FreeLibraryAndExitThread,这个函数能够在销毁 DLL 之后直接调用 ExitThread,这样一来 EIP
第三课 DLL卸载
xuenixiang.com
08-02 386
先来看一下dll卸载的定义 先介绍引用计数的概念 #include "windows.h" #include "tlhelp32.h" #include "tchar.h" #define DEF_PROC_NAME (L"notepad.exe") #define DEF_DLL_NAME (L"myhack.dll") DWORD FindProcessID(LPCT...
强行卸载DLL模块(转载)
lanhai96的专栏
08-30 8545
卸载dll模块可以用于杀毒程序中 // 程序功能:结束进程中的一个模块。// 程序日期:2006.10.8 // 程序说明:这个程序写于2003年,主要针对一些木马注入程序。以往结束远程注入木马(dll)时需要 // 结束进程,这个程序不用结束进程而直接
逆向工程核心原理》----第24章DLL卸载
qq_55785697的博客
04-24 336
DLL注入使用LoadLibrary一样,DLL卸载需要使用FreeLibrary。 1.使用CreateToolhelp32Snapeshoot()API获取加载到进程中的dll信息 2.提权,LookupPrivilegeValue()可以查看权限,AdjustTookenPrivilege()可以禁用/启用函数 提权相关函数_爱沧海的博客-优快云博客 提权函数的相关链接 3.之后同DLL注入过程类似,获取进程句柄,获取FreeLibrary()地址,创建远程线程 <注>这种方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值