DLL远线程卸载dll模块基础

本文介绍了一种在远线程注入后卸载残留DLL的方法。通过打开目标进程并利用Windows API函数如LoadLibrary和CreateRemoteThread等,实现远程卸载DLL,减少痕迹暴露的风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于远线程注入后如何卸载残留的dll

在进行远线程注入后会有残留的dll在exe文件进程中,一旦扫描则会暴露使用第三方,所以。

#include <iostream>
#include <Window.h>

void UnInject(int pid,char* Path)
{
	// 打开需要注入的进程,成功则返回进程的句柄,失败则返回NULL;第一个参数为获取当前进程可能的所有权限,第二个为是否继承句柄,第三个为进程ID(ProcessId)
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACESS,FALSE,pid);

	// 获取注入的dll地址 LPVOID为一个任意类型的指针,可以指向任意类型
	// 此处可使用工具查找地址
	LPVOID myDllAddress

	// 将DLL加载到调用该进程的地址空间中,并获取FreeLibrary的句柄,参数为FreeLibrary所在库的DLL。
	HMODULE hModule = LoadLibrary("KERNEL32.DLL");
	
	// 得到FreeLibrary的函数地址。
	LPTHREAD_START_ROUTINE lpStartAddress = (LPTHREAD_START_ROUTIINE)GetProcAddress(hModule, "FreeLibrary");

	// 此处获得的ipStartAddress最好用工具查找FreeLibrary的地址,用代码容易出错
	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, myDllAddress, 0, NULL);

	// 等待线程返回句柄,防止阻塞
	WaitForSingleObject(hThread, 2000);

	// 8.防止内存泄漏
	CloseHandle(hThread);
	CloseHandle(hProcess);
}

int main()
{
	 // UnInject(pid);
	system("pause");
	return 0;
}
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值