基于远线程注入后如何卸载残留的dll
在进行远线程注入后会有残留的dll在exe文件进程中,一旦扫描则会暴露使用第三方,所以。
#include <iostream>
#include <Window.h>
void UnInject(int pid,char* Path)
{
// 打开需要注入的进程,成功则返回进程的句柄,失败则返回NULL;第一个参数为获取当前进程可能的所有权限,第二个为是否继承句柄,第三个为进程ID(ProcessId)
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACESS,FALSE,pid);
// 获取注入的dll地址 LPVOID为一个任意类型的指针,可以指向任意类型
// 此处可使用工具查找地址
LPVOID myDllAddress
// 将DLL加载到调用该进程的地址空间中,并获取FreeLibrary的句柄,参数为FreeLibrary所在库的DLL。
HMODULE hModule = LoadLibrary("KERNEL32.DLL");
// 得到FreeLibrary的函数地址。
LPTHREAD_START_ROUTINE lpStartAddress = (LPTHREAD_START_ROUTIINE)GetProcAddress(hModule, "FreeLibrary");
// 此处获得的ipStartAddress最好用工具查找FreeLibrary的地址,用代码容易出错
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, myDllAddress, 0, NULL);
// 等待线程返回句柄,防止阻塞
WaitForSingleObject(hThread, 2000);
// 8.防止内存泄漏
CloseHandle(hThread);
CloseHandle(hProcess);
}
int main()
{
// UnInject(pid);
system("pause");
return 0;
}