卸载其他进程中的模块/dll

最新推荐文章于 2021-04-13 14:54:10 发布
原创 最新推荐文章于 2021-04-13 14:54:10 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#null #module #dll #token #struct #access

本文介绍了一种在不重启计算机的情况下从指定进程中卸载DLL的方法。通过创建远程线程并调用FreeLibrary来实现,避免了因挂接DLL而频繁重启的问题。

       前段时间做了一个东西,在所有进程中都挂接了自己的DLL,结果每次要重新编译DLL让其运行都需要重启计算机,这下可有点郁闷, 得想想办法手动卸载了这些DLL,因此变有了这个程序

原理:
        通过在指定的进程中创建远程线程,然后在线程中调用FreeLibrary把相应的模块卸载就OK了,就这么简单,废话就不多说了,代码中我已经给出详尽的注释了

//  FreeModule.cpp : Defines the entry point for the application.
 //
#include  " stdafx.h "

#define  MAX_MODULE_NAME_LEN 16

//  传入到远程线程中的参数结构定义
typedef  struct  tagThreadParam 
 {
    DWORD dwFreeLibrary;                    // FreeLibrary 地址
    DWORD dwGetModuleHandle;                // GetModuleHandle 地址
    TCHAR szModuleName[MAX_MODULE_NAME_LEN];// 需要卸载的模块的名称
} ThreadParam, * PThreadParam;


 /*
    远程线程函数
*/
void  RemoteThreadFun(PThreadParam PParam)
 {
    DWORD dwFreeLibrary;
    DWORD dwGetModuleHandle;
    DWORD dwModuleName;

    dwFreeLibrary = PParam->dwFreeLibrary;
    dwGetModuleHandle = PParam->dwGetModuleHandle;
    dwModuleName = (DWORD)PParam->szModuleName;
    
    // 释放的最高次数
    DWORD dwCount = 100;

    // 循环寻找指定模块的句柄,如果找到,那么调用FreeLibrary释放,
    // 直到该模块被释放
    __asm
    {        
START:
        push dwModuleName;            // 模块名称压栈
        call dwGetModuleHandle;        // 调用GetModuleHandle
        test eax,eax;                // 
        jz OVER;                    // 没有找到模块返回
        dec dwCount;
        jz OVER;                    // 达到最高次数
        push eax;                    // 模块句柄压栈
        call dwFreeLibrary;            // 调用FreeLibrary
        test eax,eax;
        jnz START;
OVER:        
    }
    return;
}

/*
    调整权限
*/
bool  AdjustPurview()
 {
    TOKEN_PRIVILEGES TokenPrivileges;
    bool bRet;
    HANDLE hToken;

    LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &TokenPrivileges.Privileges[0].Luid);   
    OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken);
      
    TokenPrivileges.PrivilegeCount = 1;   
    TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    
    bRet = !!AdjustTokenPrivileges(hToken, FALSE, &TokenPrivileges, 0, NULL, NULL);

    CloseHandle(hToken);
    return bRet ;
}

BOOL FreeModuleByPid(TCHAR  *  szModuleName,DWORD dwPid)
 {
    // 参数构造
    ThreadParam Param = {0};
    Param.dwFreeLibrary = (DWORD)FreeLibrary;
    Param.dwGetModuleHandle = (DWORD)GetModuleHandleA;
    MoveMemory(Param.szModuleName,szModuleName,MAX_MODULE_NAME_LEN);

    // 打开指定的进程
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);
    if(hProcess==NULL)
    
        OutputDebugString(_T("OpenProcess failed!!"));
        return FALSE;
    }

    // 参数写入
    LPVOID lpParam = NULL;
    lpParam = VirtualAllocEx(hProcess,NULL,sizeof(Param),MEM_COMMIT,PAGE_READWRITE);
    if (lpParam == NULL)
    {
        return FALSE;
    }
    
    if (!WriteProcessMemory(hProcess,lpParam,&Param,sizeof(Param),0))
    {
        VirtualFreeEx(hProcess,lpParam,0,MEM_RELEASE);
        return FALSE;
    }

    // 函数写入
    LPVOID lpThread = NULL;
    lpThread = VirtualAllocEx(hProcess,NULL,0x100,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
    if (lpThread == NULL)
    {
        return FALSE;
    }
    
    if (!WriteProcessMemory(hProcess,lpThread,RemoteThreadFun,0x100,0))
    {
        VirtualFreeEx(hProcess,lpThread,0,MEM_RELEASE);
        return FALSE;
    }
    
    // 创建线程
    HANDLE hThread = NULL;
    hThread = CreateRemoteThread(hProcess,0,0,(LPTHREAD_START_ROUTINE)lpThread,lpParam,0,NULL);
    if(hThread == NULL)
    {
        return FALSE;
    }

    // 等待线程结束
    WaitForSingleObject(hThread,INFINITE);

    // 清理工作
    VirtualFreeEx(hProcess,lpThread,0,MEM_RELEASE);
    VirtualFreeEx(hProcess,lpParam,0,MEM_RELEASE);
    CloseHandle(hProcess);

    return TRUE;
}

int  APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                      int        nCmdShow)
 {
    AdjustPurview();
    TCHAR * szModuleName = _T("AcroIEHelper.dll");
    DWORD dwPid = 1128;
    FreeModuleByPid(szModuleName,dwPid);
    return 0;
}
我只是演示了向某一个进程(pid为1128)卸载 AcroIEHelper.dll,还有一个值得注意的地方,我在函数写入的地方,在WriteProcessMemory的最后一个参数给的是PAGE_EXECUTE_READWRITE,必须有EXECUTE的权限,不然在一些升级之后的XP SP2会执行失败,导致被注入的进程崩溃
不结束进程卸载关键进程DLL文件的方法
xiuzhentianting的博客
09-15 3961
问题关键就是所插入的进程不能被终止  许多木马注入到系统里关键进程中,比如svchost.exe、smss.exe、winlogon.exe进程。这些进程使用普通方式无法结束,使用特殊工具结束掉进程后,却又很可能造成系统崩溃无法正常运行的情况。对于这些木马,我们可以通过以下两种方法进行清除。    1.使用IceSword卸载DLL文件      IceSword的功能十分强大,我们
卸载其他进程中的dll模块
cqyczj的专栏
04-15 1008
啥也不说了,贴代码: [cpp] view plaincopyprint? #include "stdafx.h"   #define MAX_MODULE_NAME_LEN 16   // 传入到远程线程中的参数结构定义   typedef struct tagThreadParam    {       DWORD dwFreeLibr
DLL远线程卸载dll模块基础
qq_39544982的博客
07-19 535
基于远线程注入后如何卸载残留的dll 在进行远线程注入后会有残留的dll在exe文件进程中,一旦扫描则会暴露使用第三方,所以。 #include <iostream> #include <Window.h> void UnInject(int pid,char* Path) { // 打开需要注入的进程,成功则返回进程的句柄,失败则返回NULL;第一个参数为获取当前进程...
delphi 卸载远程进程中的dll_FIN7新手段被曝光,win合法进程被滥用
weixin_39574868的博客
12-21 615
几个月前,一种在合法Microsoft Windows进程中运行的恶意有效负载的攻击被发现。攻击者滥用了DLL搜索顺序来加载自己的恶意DLL。该环境中的某些示例与FireEye最近发布的关于FIN7的新工具和技术(特别是BOOSTWRITE)中描述的示例相匹配。将其余样本与BOOSTWRITE进行比较,发现它们具有通用的代码库,并带有Carbanak后门。Windows操作系统使用一种通...
易语言对x64进程卸载DLL技术(可卸载64位进程DLL)
hzw320的博客
03-07 1866
易语言对x64进程卸载DLL技术(可卸载64位进程DLL) 代码非常简单: 以上是注入和卸载的代码 下面示范64位游戏魔兽世界: 详细视频教程:链接: https://pan.baidu.com/s/1uZP3W3EYKLDSrPT_bPX8nA 提取码: 9kdi 本文章转载来自:http://bbs.dult.cn/forum.php?mod=viewthread&tid=24201 已取得该站文章版权 ...
学习笔记之卸载远程目标进程中的DLL模块(转)
weixin_30868855的博客
04-30 279
学习笔记之卸载远程目标进程中的DLL模块(2007-07-23 23:51:02)转载▼学习笔记之卸载远程目标进程中的DLL模块2007/7/231.首先得把DLL模块中的线程结束使用CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);创建系统线程的快照然后用Thread32First()和Thread32Next()遍历系统中所有线程.将遍历到的线程保存...
DLL卸载(创建远程线程卸载强制注入的dll)
m0_51713041的博客
04-13 1401
DLL卸载 实际上我觉得应该改名叫:创建远程线程卸载强制注入的dll 一:工作原理 驱使目标进程调用FreeLibrary() API,和CreateRemoteThread() API来创建远程线程从而实现dll注入的方法类似,这个也是将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并将要卸载DLL的句柄传递给lpParameter参数。 注:每个windows内核对象都拥有一个引用计数,代表对象被使用的次数。每调用一个Load
DLL的加载和卸载顺序 (隐式调用)
就是那个党伟
11-24 1044
源码路径:dangwei-90/DllLoadAndFree (github.com) dll 分为显示加载和隐式加载。 假设 program 加载 dllA , 而dllA 加载 dllB, 隐式加载顺序如下: 1. program 启动 2. dllB 被加载 3. dllA 被加载 这样是为了保证 dllA 被加载时,一定是可用的,所以会先加载 dllA 所依赖的 dllB。 同理,卸载顺序如下: 1. dllA 被卸载 2. dllB 被卸载 3. program 退出 这样也是保证被 dll.
教你如何卸载被注入到进程中的dll
04-04
本文将详细讲解如何识别和卸载被注入到进程中的DLL。 首先,了解"注入DLL"的概念。DLL注入通常通过利用API函数如`LoadLibrary()`或`GetProcAddress()`实现,这些函数允许程序在运行时加载和调用其他DLL的功能。恶意...
delphi 卸载指定进程内已加载的DLL
最新发布
03-06
EnumProcessModules函数能够枚举一个进程中的所有模块(包括DLL),而GetModuleInformation则可以提供一个模块的详细信息。通过这些信息,我们可以找到目标DLL的句柄,然后使用FreeLibraryAndExitThread来卸载它。...
易语言结束进程中的DLL
07-21
易语言结束进程中的DLL源码,结束进程中的DLL,提升进程权限,列表,表项,取模块路径,列调用的模块,结束进程DLL,Module32First,ExtractIconA,打开进程,获取线程,打开令牌,恢复权限,获取令牌特权,CreateToolhelp32...
易语言DLL卸载
07-21
通过查看和分析这个源码,可以深入理解易语言如何处理DLL的生命周期管理,学习如何在易语言中编写DLL的入口函数、如何获取模块句柄以及如何实现自卸载的逻辑。 为了实现DLL卸载,开发者通常需要以下步骤: 1. ...
卸载远程进程中的指定DLL文件
12-13
2. **检查进程模块**:对每个进程,使用`OpenProcess`获取进程句柄,然后用`EnumProcessModules`列举其加载的所有模块,包括DLL。 3. **比较模块名**:将列举出的模块名称与目标DLL名称进行比对。 4. **卸载模块**:...
用户态轻松调用ntdll中的native api
08-06 6410
ntdll中的native api功能非常强大,然而微软却没有提供用户态调用native api的接口,而这些native api所需要的数据结构微软也基本没有公布,幸好有了一批牛人的贡献,给出了很多native api的定义,让我们的生活免去了许多痛苦,本文在介绍了最基本的native api的调用方式之外,还介绍了一种更加优美,移植性更强的调用方式 调用方式一(一般方式):第一步:
获取进程完整路径探索
07-19 4963
要想获取进程的完整路径,使用PSAPI提供的函数 GetModuleFileNameEx() 就可以轻松的办到下面是一个例子:/**//*用户态使用 psapi 函数进程进程查询*/#include "stdio.h"#include "windows.h"#include "psapi.h"#pragma comment(lib,"psapi.lib")//需要额外添加  psapi.h 以
guitoolkit 的使用问题
04-16 4487
1.Uxtheme.h  Tmschema.h 去找到放进来2.VisualStylesXP.cpp VisualStylesXP.h 没有包含进来,会导致出现CVisualStylesXP类的函数没有导出之类的错误3. _AfxAdjustRectangleGuiToolKit4._AfxAdjustRectangleGuiToolKitint _afxDropDownWidthGuiToolK
[分析]detours 通过修改输入表注入DLL -- UpdateImports 函数的分析
04-18 3944
前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
[讨论]关于缓冲区溢出的检测
04-17 3127
目前,缓冲区溢出应该是攻击的最直接的方式,因此如何检测缓冲区溢出以及保护刻不容缓 ,然而当前并没有很稳定可靠的方法来对缓冲区溢出进行检测,MACFEE应该是提出缓冲区溢出保护的最早的安全厂商,然而如今也不再对该技术进行大肆宣传了,这几天在网上翻了一下,感觉Comodo公司对缓冲区溢出的检测做的比较好,然后我也看不懂他采用的什么技术,如果哪位牛人来介绍一下他采用的技术就好了.后来又看了gyzy的文章
服务进程创建同explorer相同用户的子进程
07-19 1790
 创建同explorer相同用户的进程,有什么作用呢?有这样一种情况,如果你的进程是以系统服务启动的并要进行屏幕获取工作,你可以试试看,能不能把屏幕获取下来.呵呵..有一种办法就是创建一个和explorer相同用户的子进程中的一种方法:// szProcPath 为进程的路径BOOL CMainFun::StartExplorerProc(char *szProcPath)...{ 
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值