EjectDll

最新推荐文章于 2024-12-10 08:00:00 发布
最新推荐文章于 2024-12-10 08:00:00 发布
阅读量951 收藏
点赞数
分类专栏: 逆向 代码 C++ 文章标签: 逆向 代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pxm2525/article/details/41075341
版权 
<span style="font-size:12px;"><span><span>功能:卸载DLL文件,参数要求:进程号,待注入DLL文件路径  
</span></span>

//EjectDll.exe

#include "windows.h"
#include "tlhelp32.h"
#include "tchar.h"

#define DEF_PROC_NAME (L"notepad.exe")
#define DEF_DLL_NAME (L"myhack.dll")

DWORD FindProcessID(LPCTSTR szProcessName)
{
	DWORD dwPID = 0xFFFFFFFF;
	HANDLE hSnapShot = INVALID_HANDLE_VALUE;
	PROCESSENTRY32 pe;
	
	//获取系统快照(hSnapShot)
	pe.dwSize = sizeof(PROCESSENTRY32);
	hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL);
	
	//查找进程
	Process32First(hSnapShot, &pe);
	do
	{
		if(!_tcsicmp(szProcessName, (LPCTSTR)pe.szExeFile))
		{
			dwPID = pe.th32ProcessID;
			break;
		}
	}
	while(Process32Next(hSnapShot, &pe));
	
	CloseHandle(hSnapShot);
	return dwPID;
}

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
	TOKEN_PRIVILEGES tp;
	HANDLE hToken;
	LUID luid;
	
	if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
	{
		_tprintf(L"OpenProcessToken error: %u\n",GetLastError());
		return FALSE;
	}
	
	if(!LookupPrivilegeValue(NULL, lpszPrivilege, &luid))
	{
		_tprintf(L"LookupPrivilegeValue error: %u\n",GetLastError());
		return FALSE;
	}
	
	tp.PrivilegeCount = 1;
	tp.Privileges[0].Luid = luid;
	if(bEnablePrivilege)
		tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	else
		tp.Privileges[0].Attributes = 0;
		
	//Enable the privilege or disable all privileges
	if(!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), (PTOKEN_PRIVILEGES)NULL, (PDWORD)NULL))
	{
		_tprintf(L"AdjustTokenPrivileges error: %u\n",GetLastError());
		return FALSE;
	}
	
	if(GetLastError() == ERROR_NOT_ALL_ASSIGNED)
	{
		_tprintf(L"The token does not have the specified privilege. \n");
		return FALSE;
	}
	return TRUE;
}

BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName)
{
	BOOL bMore = FALSE, bFound = FALSE;
	HANDLE hSnapShot, hProcess, hThread;
	HMODULE hModule = NULL;
	MODULEENTRY32 me = {sizeof(me)};
	LPTHREAD_START_ROUTINE pThreadProc;
	
	//dwPID = notepad进程ID
	//使用TH32CS_SNAPMODULE参数,获取加载到notepad进程的DLL名称
	hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID);
	
	bMore = Module32First(hSnapShot, &me);
	for(; bMore; bMore == Module32Next(hSnapShot, &me))
	{
		if(!_tcsicmp((LPCTSTR)me.szModule,szDllName) || !_tcsicmp((LPCTSTR)me.szExePath,szDllName))
		{
			bFound = TRUE;
			break;
		}
	}
	
	if(!bFound)
	{
		CloseHandle(hSnapShot);
		return FALSE;
	}
	
	if(!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
	{
		_tprintf(L"OpenProcess(%d) failed!!! [%d]\n",dwPID, GetLastError());
		return FALSE;
	}
	
	hModule = GetModuleHandle(L"kernel32.dll");
	hThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hModule,"FreeLibrary");
	hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, me.modBaseAddr, 0, NULL);
	WaitForSingleObject(hThread, INFINITE);
	
	CloseHandle(hThread);
	CloseHandle(hProcess);
	CloseHandle(hSnapShot);
	return TRUE;
}

int _tmain(int argc, TCHAR* argv[])
{
	DWORD dwPID = 0xFFFFFFFF;
	
	//查找process
	dwPID = FindProcessID(DEF_PROC_NAME);
	if(dwPID == 0xFFFFFFFF)
	{
		_tprintf(L"There is no %s process!\n",DEF_PROC_NAME);
		return 1;
	}
	
	_tprintf(L"PID of \"%s\" is %d\n",DEF_PROC_NAME, dwPID);
	
	// 更改privilege
	if(!SetPrivilege(SE_DEBUG_NAME, TRUE))
		return 1;
	
	//eject dll
	if(EjectDll())
		_tprintf(L"EjectDll(%d, \"%s\") success!!!\n", dwPID, DEF_DLL_NAME);
	else
		_tprintf(L"EjectDll(%d, \"%s\") failed!!!\n", dwPID, DEF_DLL_NAME);
	
	return 0;
}</span>
DLL卸载
Mi1k7ea
06-23 4249
DLL卸载DLL卸载(DLL Ejection)是将强制插入进程的DLL弹出的一种技术,原理是驱使目标进程调用FreeLibrary() API,即将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数并把要卸载的DLL的句柄传递给lpParameter参数。注意:使用FreeLibrary() API实现DLL卸载,仅适用于卸载...
【Windows安全】远程线程注入
TakakiTohno的博客
09-05 1598
最近空闲,然后刚巧刷到关于Windows安全技术的博客,随就记录一下。好了,废话不多说,开始!每天学习一点小技术,总有一天会成为大牛的,加油!!!看十遍不如写一遍,动动手指,你也能成为我这样的小白菜。
DLL强制卸载器
11-19
DLL强制卸载器,我同学说用了相当好
c++ DLL注入与卸载
EEEEEEcho的博客
10-24 1803
#include<Windows.h> #include<stdio.h> void UnInjectDLL(int PID) { HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID); //使用CE找到的想要卸载的DLL的地址 LPVOID pRetAddress = (LPVOID)0x544B0000; //HMODULE hModule = LoadLibrary("KERNEL32.DLL")
Visual C++强力卸载工具
10-19
安装Visual C++时经常遇到问题,好多都是说卸载不完全造成,提供完全卸载工具。安装Visual C++时经常遇到问题,好多都是说卸载不完全造成,提供完全卸载工具。里面包含3个卸载工具,包括注册表完全删除工具,用了这个工具就没有卸载不掉的Visual C++。
C++ 逆向笔记4 卸载任何dll模块
Jackie Yang
03-16 577
强制删除任何EXE文件和被加载的DLL文件!
05-01
强制删除任何EXE文件和被加载的DLL文件!
硬核Delphi(三): DLL注入、EXE注入、进程注入、远程注入
最新发布
众纳百川的博客
12-10 868
这些技术可以用于软件防护,一些代码做过测试,提供一些思路给大家供参考。
逆向工程核心原理 Chapter24 | DLL卸载
ULGANOY的博客
09-03 1153
逆向工程核心原理第24章学习记录
Windows本机DLL注入库,支持几种注入方法。-.NET开发
05-27
Bleak用C#编写的Windows本机DLL注入库,支持多种注入方法。...注入方法CreateThread HijackThread ManualMap可选扩展EjectDll HideDllFromPeb RandomiseDllHeaders RandomiseDllName功能WOW64和x64注入安装下载并安装
DLL自卸载.rar
04-04
DLL自卸载.rar
Dll注入和卸载源码
06-14
Dll注入和卸载,包括DLL动态库,DLL注入功能是完整的,卸载不份不完善,可以作为参考。
DLL注入与卸载
05-22
实现window系统下的DLL注入与卸载
VisualStuidio 完美卸载工具
11-21
完美卸载Visual Studio,解决因为Visual Studio卸载不干净导致重新安装时路径无法选择的问题
C++ DLL远程注入与卸载函数
Gary's Blog --- A C++ programmer
11-30 6417
代码是别处的 第一个函数是成功的,第二个函数运行发现会将目标程序挂死,也许是目标程序有保护机制 支持Unicode编码。 //----------------------------------------------------------------------------------------------------------- // 函数:
如何安全的将远程DLL卸载,不会让程序崩溃
Qensq的博客
07-19 1648
卸载DLL 很多人是从外部卸载的,但是可能会造成程序的崩溃和异常,需要卸载的方式最好是放在内部操作。 通过执行DLL内部方法去卸载DLL本身,代码如下: VOID unDll() { HMODULE hmodel = NULL; GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,(LPCSTR) &unDll, &a...
C++-dll动态加载与卸载(LoadLibraryEx与FreeLibrary)
mrbone11的博客
01-05 7992
dll动态加载与卸载 这里的动态加载指的是:程序编译时不需要任何dll相应的lib进行链接,程序本身通过相关函数加载和卸载dll,并使用其中的函数。 代码如下: class PluginManager { public: static bool loadPlugin(const QString& pluginPath, PluginInstanceInfo& pluginInfo); static bool freePlugin(PluginInstanceInfo&
彻底干掉想删不能删的 .dll
博客园:https://www.cnblogs.com/GalGameBoy | 独立游戏开发者
02-13 634
有时候我们对程序文件夹进行操作 里面的.dll总是被很多程序共用 不能删改一般来说就是重启或者资源管理器搜一下关掉相关进程、很麻烦。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值