卸载远线程中被注入的dll

最新推荐文章于 2018-01-22 02:33:54 发布
原创 最新推荐文章于 2018-01-22 02:33:54 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #null #thread #module

本文介绍了一个用于从远程进程中卸载DLL的C语言函数intUninject,并展示了如何使用该函数来实现DLL的卸载。此外,还提供了一个DLLMain函数的例子,用于处理DLL加载过程中的不同阶段。
int Uninject(DWORD pid, char *dll)
{
    HANDLE hProcess = NULL, hThread = NULL, hthSnapshot = NULL;
    MODULEENTRY32 hMod = {sizeof(hMod)};


    hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pid);
    if (hthSnapshot == NULL)
    {
        return 0;
    }

    BOOL bMoreMods = Module32First(hthSnapshot, &hMod);
    if (bMoreMods == FALSE)
    {
        return FALSE;
    }

    for (;bMoreMods; bMoreMods = Module32Next(hthSnapshot, &hMod))
    {
        if ((!stricmp(hMod.szExePath, dll))||(!stricmp(hMod.szModule,dll)))
        {
            hProcess = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION, FALSE, pid);
            if (hProcess == NULL)
            {
                return 0;                
            }
            
            
            PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32.dll"), "FreeLibrary");
            
            if (pfnThreadRtn == NULL)    
            {
                return 0;
            }
            
            
            hThread = CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,hMod.modBaseAddr,0,NULL);
            
            if (hThread == NULL)    
            {
                return 0;    
            }
            
            WaitForSingleObject(hThread, INFINITE);
            CloseHandle(hThread);
            CloseHandle(hthSnapshot);
            CloseHandle(hProcess);        
        }    
    }
    return 1;
}

结果就是,应用程序出错,呵呵,变相卸载。:(


再贴出我的DLLMAIN,


BOOL APIENTRY DllMain( HANDLE hModule,
                      DWORD  ul_reason_for_call,
                      LPVOID lpReserved
                      )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        hXDll = hModule;
        CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)GetControlHostandPort,NULL,0,NULL);
        CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)StartXBShell_Main,(LPVOID)0,0,NULL);
        CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)StartXBShell_Main,(LPVOID)1,0,NULL);
        break;
        
    case DLL_THREAD_ATTACH:
        break;
    case DLL_THREAD_DETACH:
        break;
    case DLL_PROCESS_DETACH:
        //FreeLibraryAndExitThread((HINSTANCE)hXDll,0);
        //FreeLibrary((HINSTANCE)hXDll);
#endif
        break;
    }
    
    return TRUE;
}
初学C++ 线程注入DLL卸载
yjwffgip456的专栏
09-05 1981
//提升权限 void DebugPrivilege() {  HANDLE hToken = NULL;  //打开当前进程的访问令牌  int hRet = OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS,&hToken);  if( hRet)  {   TOKEN_PRIVILEGES tp;   tp.Priv
DLL注入卸载(C++)
Ψ星泪(JPEXE)
09-16 5175
以下提供两个函数,分别用于向其它进程注入卸载指定DLL模块。支持Unicode编码。 //----------------------------------------------------------------------------------------------------------- // 函数: InjectDll // 功能: 向目标进程中注入一个指定 Dll 模块文件
完美的线程注入卸载
山寨3D的专栏
01-30 962
unit Unit1;interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls;type  TForm1 = class(TForm)    Button1: TButton;    Button2: TButton;   
DLL注入卸载实现
a583911125的博客
08-30 229
实现win7 64位系统下dll注入卸载,尚未再其他系统测试 源码地址:https://github.com/ndhisrfzs/InjectDll 转载于:https://www.cnblogs.com/ruofengzhishang/p/3946680.html...
dll线程注入(支持64bit win7)
07-20
dll注入线程。使用的时候创建一个空的工程,然后把代码当做主文件放到工程中,自己写个mian函数调用injectDLL函数就能注入了。菜鸟级友情提醒:64位别忘了编译成x64的可执行文件
易语言线程EIP注入卸载DLL
07-22
易语言线程EIP注入卸载DLL源码,线程EIP注入卸载DLL,打开线程,原_按钮2_被单击,线程EIP注入,取进线程ID,卸载DLL,GetThreadContext,SetThreadContext,打开进程_,OpenThread,关闭内核对象_,取进程线程标识符_,...
易语言 线程注入DLL呼出窗口 源码(无模块)
11-24
在给定的资源中,我们主要关注的是“线程注入DLL”这一技术,以及与之相关的源码和执行文件。 线程注入是Windows系统中一种常见的进程间通信技术。它允许一个进程将代码(通常是一个动态链接库DLL注入到...
线程注入.rar_VirtualAllocEx_dll卸载_riverlpg_skill1bc_
07-14
用CreateRemoteThread和FreeLibrary把DLL程进程中卸载。调用时传递第6步取得的HMODULE给FreeLibrary(通过CreateRemoteThread的lpParameter参数)。 //9. 等待线程的结束(WaitSingleObject)。
DLL注入卸载
05-22
DLL注入是指将一个动态链接库的实例加载到另一个正在运行的进程的地址空间中,使得目标进程能够调用DLL中定义的函数。这在很多场景下都有应用,如调试、插件系统或性能监测等。 #### 原理 1. **创建线程**:...
易语言线程EIP注入卸载DLL源码
06-03
注入技术中,通过修改线程的EIP,可以改变程序执行流程,使得程序执行指定的代码,如注入DLL中的函数。这种方法常用于逆向工程、调试和恶意软件中。 3. **DLL注入**: DLL注入是一种技术,通过将DLL加载到目标...
Delphi使用HOOK注入系统线程.rar
07-10
Delphi使用HOOK注入系统线程,调用了一个HOOK控件来完成,示例演示了注入一个网址进程的例子。
Delphi 钩子 注入线程(2)
流年~~
04-10 2891
程序作用: 在Explorer.exe的窗口接到任何一个鼠标消息时在Explorer.exe进程注入一个线程,该线程显示一个窗体. 程序的问题,如果程序在Explorer.exe还没有接收到有效的鼠标消息之前被关闭,则进程注入不会成功. 启动程序: program Project1; uses Forms, Unit1 in 'Unit1.pas' {Form1}
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
线程注入卸载 修改版
新手学编程
01-22 1068
#include //快照需要的头文件 //快照判断进程是否已经注入 BOOL InjectModuleInto(DWORD dwProcessId) { BOOL bFound = NULL; HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEENTRY32 me32; hModuleSnap = CreateT
线程注入卸载DLL
开心乐源的专栏
09-27 2167
########################################################################/* * 在程进程中搜索模块句柄 */ HMODULE FindRemoteMod(HANDLE hProcess, const wchar_t * pszModShortName) { HMODULE _hModules [0x100] =
dll注入进程后卸载的代码
05-23 3850
//App.cpp #include "stdafx.h" #include #define MAX_SIZE 1024*16 #define DLL "D:/Code/TestCode/UnloadDll/UnloadDll/Debug/demo.dll" // 需要完整路径 HMODULE LoadRemoteLibrary(HANDLE hProcess,const char *pcLib
win7 64bit下线程注入技术(进程劫持入门技术)
扣的CODE
07-20 7745
http://blog.youkuaiyun.com/arvon2012/article/details/7766439 本文是配合上文学习和使用的。上文中,最后,我们生成了可以hook api的dll,那么怎么把它发射到其他进程中,让其他进程调用运行我们的dll呢? 线程注入技术可以解决这个问题。   原理: 线程注入是这样的,首先在当前运行的进程中找到目标进程,然后将我们的dll的内容写
Windows系统下线程注入DLL的检测与卸载策略
"线程注入DLL的检测与卸载方法的研究" 线程注入(Remote Thread Injection)是一种常见的恶意软件技术,攻击者通过这种方式在目标进程中注入代码,通常是动态链接库(DLL),以实现隐蔽的监控、控制或破坏...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值