[求助]CreateRemoteThread 成功，但是查看不到DLL模块。功能也无法使用。-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 2 楼 LoadLibrary的地址对么? LoadLibrary需要的参数写入了目标进程了么？ LoadLibrary的参数写的是绝对全路径么？目标进程是x64程序么？ 2013-4-12 16:14 0
vvke 雪币： 70 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	vvke 3 楼 HMODULE hModuleKernel32 = GetModuleHandle(L"kernel32.dll"); LPTHREAD_START_ROUTINE lpLoadLibraryAddr = (LPTHREAD_START_ROUTINE)GetProcAddress( hModuleKernel32, "LoadLibraryW" ); if( lpLoadLibraryAddr != NULL ) { HANDLE hRemote = CreateRemoteThread( hProcess, NULL, 0, lpLoadLibraryAddr, lpDllNameAddr, 0, NULL ); if( hRemote != NULL ) { WaitForSingleObject( hRemote, INFINITE ); CloseHandle( hRemote ); } } 这不都是通用的法子么。。。在Win7 64bit下，Explorer.exe 应该也是64的吧。。。难道这样获取的地址会是错误吗？刚学习。。。非常感谢您能来解答。。。 2013-4-12 19:36 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 4 楼 lpDllNameAddr写到目标程序了么 2013-4-12 20:05 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 5 楼 +1 +++++ 2013-4-12 21:31 0
licthday 雪币： 66 活跃值： (183) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 102 粉丝 0 关注私信	licthday 6 楼每一步执行之后都打印信息，这样就可以找到问题所在了嗯，r3 直接调试一下看看执行到哪一步失败就可以了 2013-4-12 21:32 0
vvke 雪币： 70 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	vvke 7 楼灰常感谢各位捧场，貌似还真是路径的问题。之前的程序抄过来是LoadLibraryW，刚才顺手改成了，LoadLibraryA就好使了，果然这不能混合字符串啊，问题大大地。。。 2013-4-13 02:20 0
dapiao 雪币： 224 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dapiao 8 楼感谢楼上确实是多字节和宽字节的问题 2020-10-12 22:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 2 楼 LoadLibrary的地址对么? LoadLibrary需要的参数写入了目标进程了么？ LoadLibrary的参数写的是绝对全路径么？目标进程是x64程序么？ 2013-4-12 16:14 0
vvke 雪币： 70 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	vvke 3 楼 HMODULE hModuleKernel32 = GetModuleHandle(L"kernel32.dll"); LPTHREAD_START_ROUTINE lpLoadLibraryAddr = (LPTHREAD_START_ROUTINE)GetProcAddress( hModuleKernel32, "LoadLibraryW" ); if( lpLoadLibraryAddr != NULL ) { HANDLE hRemote = CreateRemoteThread( hProcess, NULL, 0, lpLoadLibraryAddr, lpDllNameAddr, 0, NULL ); if( hRemote != NULL ) { WaitForSingleObject( hRemote, INFINITE ); CloseHandle( hRemote ); } } 这不都是通用的法子么。。。在Win7 64bit下，Explorer.exe 应该也是64的吧。。。难道这样获取的地址会是错误吗？刚学习。。。非常感谢您能来解答。。。 2013-4-12 19:36 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 4 楼 lpDllNameAddr写到目标程序了么 2013-4-12 20:05 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 5 楼 +1 +++++ 2013-4-12 21:31 0
licthday 雪币： 66 活跃值： (183) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 102 粉丝 0 关注私信	licthday 6 楼每一步执行之后都打印信息，这样就可以找到问题所在了嗯，r3 直接调试一下看看执行到哪一步失败就可以了 2013-4-12 21:32 0
vvke 雪币： 70 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	vvke 7 楼灰常感谢各位捧场，貌似还真是路径的问题。之前的程序抄过来是LoadLibraryW，刚才顺手改成了，LoadLibraryA就好使了，果然这不能混合字符串啊，问题大大地。。。 2013-4-13 02:20 0
dapiao 雪币： 224 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dapiao 8 楼感谢楼上确实是多字节和宽字节的问题 2020-10-12 22:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复