DLL远线程卸载dll模块基础

最新推荐文章于 2025-01-10 09:44:55 发布
最新推荐文章于 2025-01-10 09:44:55 发布
阅读量507 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: C++逆向 文章标签: 卸载dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39544982/article/details/96483899
本文介绍了一种在远线程注入后卸载残留DLL的方法。通过打开目标进程并利用Windows API函数如LoadLibrary和CreateRemoteThread等,实现远程卸载DLL,减少痕迹暴露的风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于远线程注入后如何卸载残留的dll

在进行远线程注入后会有残留的dll在exe文件进程中,一旦扫描则会暴露使用第三方,所以。

#include <iostream>
#include <Window.h>

void UnInject(int pid,char* Path)
{
	// 打开需要注入的进程,成功则返回进程的句柄,失败则返回NULL;第一个参数为获取当前进程可能的所有权限,第二个为是否继承句柄,第三个为进程ID(ProcessId)
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACESS,FALSE,pid);

	// 获取注入的dll地址 LPVOID为一个任意类型的指针,可以指向任意类型
	// 此处可使用工具查找地址
	LPVOID myDllAddress

	// 将DLL加载到调用该进程的地址空间中,并获取FreeLibrary的句柄,参数为FreeLibrary所在库的DLL。
	HMODULE hModule = LoadLibrary("KERNEL32.DLL");
	
	// 得到FreeLibrary的函数地址。
	LPTHREAD_START_ROUTINE lpStartAddress = (LPTHREAD_START_ROUTIINE)GetProcAddress(hModule, "FreeLibrary");

	// 此处获得的ipStartAddress最好用工具查找FreeLibrary的地址,用代码容易出错
	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, myDllAddress, 0, NULL);

	// 等待线程返回句柄,防止阻塞
	WaitForSingleObject(hThread, 2000);

	// 8.防止内存泄漏
	CloseHandle(hThread);
	CloseHandle(hProcess);
}

int main()
{
	 // UnInject(pid);
	system("pause");
	return 0;
}
卸载线程中的DLL
星空陨的专栏
10-20 2047
如何卸载其他进程中的DLL。要卸载其他进程中的DLL一般都要首先提升本进程的权限。相关的操作也很简单,我已经将其封装为一个函数/*********************************************************************/BOOL BDebugProcess2(HANDLE hProcess, LPCTSTR PrivilegeName){HANDLE
linux命令之netstat
清扬叶
03-18 226
netstat命令各个参数说明如下: -a 或–all 显示所有连线中的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。 -c 或–continuous 持续列出网络状态...
线程注入和卸载DLL
开心乐源的专栏
09-27 2137
########################################################################/* * 在程进程中搜索模块句柄 */ HMODULE FindRemoteMod(HANDLE hProcess, const wchar_t * pszModShortName) { HMODULE _hModules [0x100] =
易语言对x64进程卸载DLL技术(可卸载64位进程里DLL)
hzw320的博客
03-07 1835
易语言对x64进程卸载DLL技术(可卸载64位进程里DLL) 代码非常简单: 以上是注入和卸载的代码 下面示范64位游戏魔兽世界: 详细视频教程:链接: https://pan.baidu.com/s/1uZP3W3EYKLDSrPT_bPX8nA 提取码: 9kdi 本文章转载来自:http://bbs.dult.cn/forum.php?mod=viewthread&tid=24201 已取得该站文章版权 ...
程加载与卸载DLL
zqf_office的专栏
10-23 580
[cpp] view plaincopy DWORD GetProcessIdByName(LPCTSTR szProcess)//注意要加exe后缀   {       DWORD dwRet=0;       HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);       PRO
易语言DLL卸载
07-21
后者不仅卸载DLL,还会结束调用线程。在DLL的`DllMain`函数中设置适当的卸载逻辑,确保在适当的时候执行卸载。 5. **源码分析**:在提供的压缩包文件中,"易语言DLL卸载源码"很可能是包含实现DLL卸载功能的源...
易语言DLL卸载源码-易语言
06-13
5. **安全卸载**:在卸载DLL时,必须确保没有正在执行的代码依赖于它。否则,可能会导致程序崩溃或其他未定义的行为。 在"BlackMoonDll1.e"这个文件中,可能包含了实现上述步骤的具体源代码。通过阅读和分析这段...
DLL注入与卸载
05-22
1. 获取DLL模块句柄,使用`GetModuleHandle` API。 2. 调用`FreeLibrary`,传入DLL模块句柄。 ### 安全与风险 虽然DLL注入有其合法用途,但往往也与恶意行为有关,如病毒、木马和黑客工具。因此,对DLL注入的操作应...
c#动态加载卸载DLL的方法
09-04
在C#编程中,动态加载和卸载DLL是常见的需求,特别是在需要热更新或模块化设计的应用程序中。本文将详细介绍如何在C#中实现这一功能,主要涉及`AppDomain`和反射机制。 首先,动态加载DLL主要依赖于C#的`Reflection...
如何安全的将DLL卸载,不会让程序崩溃
Qensq的博客
07-19 1704
卸载DLL 很多人是从外部卸载的,但是可能会造成程序的崩溃和异常,需要卸载的方式最好是放在内部操作。 通过执行DLL内部方法去卸载DLL本身,代码如下: VOID unDll() { HMODULE hmodel = NULL; GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,(LPCSTR) &unDll, &a...
易语言源码易语言DLL卸载源码.rar
03-30
易语言源码易语言DLL卸载源码.rar
易语言子类化dll注入与卸载按home呼出窗口中文实例源码-易语言
06-12
Temp文件夹全部拖到e盘即可直接测试,文件需放同一目录下测试,否则无效,无反应 有子窗口或控件的把图标拖到该子窗口或控件获取句柄来子类化 外部窗口不能直接子类化,不能跨进程,所以一个解决方案是注入。手痒就顺手翻译一篇c++的源码来验证一下
(含源码) 注入dll 卸载进程模块 UM
11-21
(含源码) 注入dll 卸载进程模块 UM(含源码) 注入dll 卸载进程模块 UM
易语言从内存加载DLL源码
06-02
易语言从内存加载DLL源码。@易语言资源网站。
易语言-子类化dll注入与卸载按home呼出窗口中文实例
06-25
Temp文件夹全部拖到e盘即可直接测试,  文件需放同一目录下测试,否则无效,无反应 有子窗口或控件的把图标拖到该子窗口或控件获取句柄来子类化 外部窗口不能直接子类化,不能跨进程,所以一个解决方案是注入。手痒就顺手翻译一篇c++的源码来验证一下
卸载已经注入进程的DLL 实验
pDaren的专栏
08-23 2609
知道了注入的原理,对于卸载就很容易学会了!对于DLL注入型病毒、木马、可以很自己编写一个专杀软件!下面的写法对于我来说比较新鲜,用的是返回错误代码的写法,有点API的味道!//获取进程PID DWORD GetProcessPID(char *ProcessName) { CString Name; Name.Format("%s",ProcessName); //快照进程信息 HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPR
DLL 卸载自身
马说@优快云
04-23 9733
原文链接:http://www.titilima.cn/show-547-1.html 今天的问题是:有没有可能让一个 DLL 自己卸载自己?这个问题可以分成两个部分:卸载一个 DLL卸载 DLL 的代码应该是放在 DLL之中的。当然,如果不考虑后果的话,这个代码并不难写,如下:#include HMODULE g_hDll = NULL;DW
win检测有没有被线程注入
最新发布
youngboy的博客
01-10 188
【代码】win检测有没有被线程注入。
Windows系统下线程注入DLL的检测与卸载策略
可能的卸载策略包括安全地终止恶意线程,然后使用API函数如FreeLibrary来卸载DLL。同时,为了防止恶意DLL再次注入,可能需要监视系统行为,或者修复受影响的系统设置。 实验结果表明,这种方法对于检测和恢复被程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值