卸载进程中的模块(修改版)

最新推荐文章于 2021-11-14 21:41:25 发布
最新推荐文章于 2021-11-14 21:41:25 发布
阅读量1.5k 收藏
点赞数
分类专栏: File/System 文章标签: null token dll module struct access

/*卸载其他进程的dll
加入了权限提升,并改为直接用进程名,这样也方便一点
freedll.exe explorer.exe adson.dll============

还没有解决:卸载模块成功后,宿主进程可能过会儿会发生异常,有待下会解决,郁闷!
--------------------------------------------------------------*/

#include  < windows.h >
#include  < stdio.h >
#include  < Tlhelp32.h >

typedef  struct  RemoteInfo
 {
 DWORD dwLoadLibrary;//FreeLibrary函数地址
 DWORD ModuleAddr; //模块地址
} RemotePara;  // 传递给远程线程的参数

DWORD WINAPI ThreadProc (RemotePara  * lpPara)
 typedef BOOL (__stdcall *pFreeLibrary)(DWORD);
 pFreeLibrary pFuckLibrary;
 pFuckLibrary = (pFreeLibrary)lpPara->dwLoadLibrary;
 pFuckLibrary(lpPara->ModuleAddr); //模块基地址
 return 0;
}
int  Uninject(DWORD pid,  char   * dll); // 卸载模块函数
int  EnableDebugPriv( const   char   *  name); // 提升权限
unsigned  long  GetProcessID( char   * sProcName); // 获得进程对应的PID

int  main( int  argc,  char *  argv[])
 {
 
    DWORD id;
 if(argc!=3)
 {
 printf("Remote Modules Uninject Tool by Rhett 2006.1.16 ");
 printf("%s Module name Process id ",argv[0]);
 return 1;
 }
    id = GetProcessID(argv[1]);
 if (id==0)
  return 1;
 //----------------------------------------------------------------------------
 if ((Uninject(id, argv[2]))==0)
 {
       puts("卸载模块失败,请确定该模块确实存在于进程中! ");
    return 1;
 }
 else
 {
  puts("卸载模块成功");
 }


return 0;
}

int  Uninject(DWORD pid,  char   * dll)
 {   
    MODULEENTRY32 ModuleStor;
    RemotePara pRemoteCallParam;
    RemotePara *pRPCParam = NULL;
 if(EnableDebugPriv(SE_DEBUG_NAME))//提升权限
 {
  printf("add privilege error");
  return 0;
 }
 //获取进程快照
 HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pid);
 if(INVALID_HANDLE_VALUE==hSnapshot)
 {
 printf("snapshot failed ");
 return 0;
 }
 ModuleStor.dwSize = sizeof(MODULEENTRY32);
     //遍历进程所有模块,直到找到目标DLL 
 int bFind = Module32First(hSnapshot,&ModuleStor);
 while (bFind)
 {
   printf("%s",ModuleStor.szModule);
   printf(" %8x ",ModuleStor.modBaseAddr);
   if(!strcmp(ModuleStor.szModule,dll))
   {
  pRemoteCallParam.ModuleAddr = (unsigned long)ModuleStor.modBaseAddr;//模块地址赋值?

        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);
  if(hProcess==NULL)
  
  //printf(" open process failed ");
  return 0;
  }

  HMODULE hModule = LoadLibrary("kernel32.dll");

  pRemoteCallParam.dwLoadLibrary = (DWORD)GetProcAddress(hModule,"FreeLibrary");
  // pRemoteCallParam.ModuleAddr = 0x10000000;
         //在目标进程的内存范围内分配一个足够长度的内存
  pRPCParam = (RemotePara *)VirtualAllocEx(hProcess,NULL,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);
  if (pRPCParam == NULL)
  {
  //printf("virtualallocex failed ");
   CloseHandle(hProcess);
  return 0;
  }
  WriteProcessMemory(hProcess,pRPCParam,&pRemoteCallParam,sizeof(pRemoteCallParam),0);
         //在远程分配一块内存 
  PVOID pRemoteThread = VirtualAllocEx(hProcess,NULL,2048,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
  if(pRemoteThread==NULL)
  {
  //printf("second virtualallocex failed ");
   CloseHandle(hProcess);
  return 0;
  }
  WriteProcessMemory(hProcess,pRemoteThread,&ThreadProc,2048,0);

  HANDLE hThread = CreateRemoteThread(hProcess,0,0,(DWORD (__stdcall *)(void *))pRemoteThread,pRPCParam,0,NULL);
  if(hThread==NULL)
  {
  //printf("createremotethread failed ");
   CloseHandle(hProcess);
  return 0;
  }
  CloseHandle(hProcess);
  return 1;
   }
   bFind = Module32Next(hSnapshot,&ModuleStor);
 }

 CloseHandle(hSnapshot);//
 return 0;
}

unsigned  long  GetProcessID( char   * sProcName)
 {
 int done;
  HANDLE hProcSnap;
  PROCESSENTRY32 ProcessEntry32;
              
  hProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  if (hProcSnap == INVALID_HANDLE_VALUE)
  {
     return 0;
  }
  ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
  done = Process32First(hProcSnap, &ProcessEntry32);
  while (done)   
  {
      if (strcmp(ProcessEntry32.szExeFile,sProcName)==0)
         return  ProcessEntry32.th32ProcessID;
     done = Process32Next(hProcSnap, &ProcessEntry32);
  }
  return 0;
}


int  EnableDebugPriv( const   char   *  name)
 {
 HANDLE hToken;
 TOKEN_PRIVILEGES tp;
 LUID luid;
 //打开进程令牌环
 if(!OpenProcessToken(GetCurrentProcess(),
     TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,
     &hToken) )
 {
  printf("OpenProcessToken error. ");
  return 1;
 }
 //获得进程本地唯一ID
 if(!LookupPrivilegeValue(NULL,name,&luid) )
 {
  printf("LookupPrivilege error! ");
 }

 tp.PrivilegeCount = 1;
 tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 tp.Privileges[0].Luid = luid;
 //调整权限
 if(!AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL) )
 {
  printf("AdjustTokenPrivileges error! ");
  return 1;
 }

 return 0;
}  
android 卸载已加载的so,技术分享 - 基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块...
weixin_30387635的博客
05-27 695
背景对于内核层实现监控模块的加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRou...
linux命令之netstat
清扬叶
03-18 224
netstat命令各个参数说明如下: -a 或–all 显示所有连线中的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。 -c 或–continuous 持续列出网络状态...
注入钩子 安全卸载进程模块 UM(含源码)
11-21
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
卸载掉指定进程中的指定模块
AKe's blog
11-06 1380
//卸载掉指定进程中的指定模块,一般用来清除DLL木马////注://1,对于多次调用了LoadLibrary的进程,需要多次调用该函数才能够保证从该进程完全卸载//2,只有进程创建后动态载入的DLL调用该函数才能够达到效果(如果指定进程的引入表中包含了欲卸载模块,调用虽然能够成功,但是该模块的函数资源等仍然有效。)。////参数://Pid: 进程ID//Module: 模块名////返回值;
强制卸载目标进程模块
天道酬勤
03-08 3700
代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。 注:强制卸载可能导致目标进程崩溃。 哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll。 下面是代码: class ForceQuit { public: bool EnablePriv() {
进程空间卸载模块的方法
haart的专栏
10-31 1143
<br />从进程卸载模块有两种方法<br />1.<br /> <br />/************************************************************************************* 程序作用: 用 NtUnmapViewOfSection 来卸载DLL。测试成功! 程序原理: 程序作者: wyART 代码日期: 2009-12-01 修改日期: 2009-12-01 ***************************
卸载远端进程模块(张佩)
张佩的技术库
03-24 2452
         卸载远端进程模块(张佩)    我看到了很多用创建远端线程的方法注入dll的文章,内容大同小异。但奇怪的是,没有一篇文章介绍如何把注入的远端线程卸载掉的方法。为了实践自己的好奇心,我试着实现了一下,使用的是类似注入dll的方法。    1.首先我想到调用什么API卸载DLL。我想到用遍历IAT的方法,找到唯一的dll名字,然后将它隐藏。我虽然没有实际去做,但我立刻就意识到了此方
掌握进程模块信息获取技术
该资源包含了能够解析和提取操作系统中特定进程模块信息的源码文件。进程模块通常指的是在进程中加载的动态链接库(DLL)文件、可执行文件(EXE)以及其他形式的模块。在不同的操作系统中,这些模块可能具有不同的...
magisk模块 LSPosed zygisk v1.9.2-7024版本
最新发布
11-26
module.prop文件中通常包含模块的名称、版本、作者等信息,而system.prop文件则包含了需要修改的系统属性值。这两个文件的作用是确保LSPosed能够正确识别模块,并在系统层面上做出正确的调整。 sepolicy.rule文件...
[完全卸载工具].Total-Uninstall-Setup-6.4.1 中文专业破解版
05-11
Total Uninstall 是一款全功能的卸载程序,其包含三大功能模块: 已安装程序 模块:分析现有安装并创建有安装变更的日志。它可在没有程序自带卸载程序的帮助下就可卸载程序。 已监视程序 模块:在新程序安装期间,...
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
"进程保护"是指保护特定进程不被未经授权的修改或终止。在Windows 10中,这通常涉及到设置进程的权限、监控进程行为、阻止非法注入等操作。驱动级的进程保护比用户级的保护更为强大,因为它可以绕过某些用户权限限制...
(含源码) 注入dll 卸载进程模块 UM
11-21
(含源码) 注入dll 卸载进程模块 UM(含源码) 注入dll 卸载进程模块 UM
dll加载卸载工具源码
02-18
远程注入方式实现LoadLibrary,FreeLibrary 附带遍历进程模块dll功能。svchost等的系统进程不能遍历,没做处理。 用了破解的皮肤组件,360之类的软件可能会唧唧歪歪,不喜欢的可以自行修改代码和删除相关皮肤文件的调用。
枚举所有进程所有模块,删除制定进程
weixin_30519071的博客
03-31 191
环境: VS2008中配置WDK7600驱动开发环境 包含文件 #include <ntifs.h> #include <WinDef.h> 需要在 #include <ntddk.h> 之前 那么就不会出错 程序大体流程: PsGetCurrentProcess() 得到本进程EPROCESS 通过EPROCE...
卸载其他进程中的dll模块
cqyczj的专栏
04-15 988
啥也不说了,贴代码: [cpp] view plaincopyprint? #include "stdafx.h"   #define MAX_MODULE_NAME_LEN 16   // 传入到远程线程中的参数结构定义   typedef struct tagThreadParam    {       DWORD dwFreeLibr
进程--multiprocessing模块
Marvin_Wind的博客
05-25 550
进程–multiprocessing模块 一、知识梳理 1,进程 进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。 2,线程 线程,有时被称为轻量级进程(Lightweight Process,LWP),是程序执行流的最小单元。另外,线程是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有...
易语言强制卸载进程模块_Linux 中 D 状态的进程与平均负载
weixin_39969953的博客
11-24 247
这篇文章聊聊 Linux 中 D 状态的进程与平均负载的关系,通过阅读本文,你会了解到这些东西。D 状态的进程是什么如何编写内核模块模拟 D 状态进程Linus 对 D 状态进程的看法平均负载的概念在 top 和 uptime 命令输出中的第一行有一个 load average 字段,由三个数字表示,依次表示过去 1 分钟、5 分钟、15 分钟的平均负载(Load Average),如下图所示。值...
简述进程管理模块
cfuckfuck的博客
11-14 1165
进程管理 进程作为用户操作的实体,它贯穿操作系统的整个生命周期,而程序是由若干段二进制代码组成的。进程可以说是程序的运行态抽象,即运行于处理器中的二进制码叫做进程,保存在存储介质中的二进制码叫做程序。进程会在执行过程中引入运行环境维护信息,因此进程管理啊主要涉及两个部分内容:进程控制结构体和进程间调度策略。 进程控制结构体用于记录和手机进程运行时的资源消耗信息,并维护程序运行的现场环境;进程间调度策略主要负责决策一个进程将在何时能获得处理器的执行权。 简述进程管理模块 进程作为拥有执行资源的最小单位,他为每
如何在不结束进程的情况下卸载进程中的dll模块
www.pingfi.com
04-24 1995
如何在不结束进程的情况下卸载进程中的dll模块EnablePrivilege(HANDLE hToken, LPCSTR szPrivName){TOKEN_PRIVILEGES tkp;LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限tkp.PrivilegeCount=1;tkp.Pr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值