[求助]如何通过VC编程卸载其它进程的DLL模块?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 2 楼如果你知道怎么远程注入那么也可以用同样的方法进行远程卸载！ /////////////////////////////////////////////////////////// PTHREAD_START_ROUTINE pfnThreadRtn=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("kernel32"),"FreeLibrary"); hThread=CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,me.modBaseAddr,0,NULL); ////////////////////////////////////////////////////////////////////////// 除非你知道卸载那个DLL是安全的，否则很容易造成目标进程崩溃 2007-6-1 11:52 0
HSXiaogang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 100 粉丝 0 关注私信	HSXiaogang 3 楼多谢指点,能否再说详细一点... 创建远程线程之后,是否还要进行其它操作...还是下面一句就将模块卸载了. CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,me.modBaseAddr,0,NULL); (VC中好像没有me关键字吧,modBaseAddr是否指的要卸载模块的加载基址?) 2007-6-1 14:05 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼 MODULEENTRY32 me; 2007-6-1 14:12 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 5 楼对先用系统快照把目标进程中模块的句柄弄出来。然后创建远程线程，用FreeLibrary就可以了。 2007-6-2 10:53 0
HSXiaogang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 100 粉丝 0 关注私信	HSXiaogang 6 楼谢谢指点我试了一下，确实可以，但是好像不能强制卸载，从我调试程序的结果看来，如果目标进程已经加载了这个模块，但没有调用它，是可以卸载的。但是若目标进程正在调用这个模块，就无法卸载。我想像IceSword那样，有强制卸载的功能，哪怕引起目标进程崩溃，也可以接受。不知这种方法如何实现...? 2007-6-2 20:11 0
yAngtAi 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	yAngtAi 7 楼 >我想像IceSword那样，有强制卸载的功能，哪怕引起目标进程崩溃，也可以接受。不知这种方法如何实现...? 调用ntdll.dll 导出的 NtUnmapViewOfSection( HANDLE hProcess, PVOID Address)参数1句柄,参数2基地址 2007-8-27 16:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 2 楼如果你知道怎么远程注入那么也可以用同样的方法进行远程卸载！ /////////////////////////////////////////////////////////// PTHREAD_START_ROUTINE pfnThreadRtn=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("kernel32"),"FreeLibrary"); hThread=CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,me.modBaseAddr,0,NULL); ////////////////////////////////////////////////////////////////////////// 除非你知道卸载那个DLL是安全的，否则很容易造成目标进程崩溃 2007-6-1 11:52 0
HSXiaogang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 100 粉丝 0 关注私信	HSXiaogang 3 楼多谢指点,能否再说详细一点... 创建远程线程之后,是否还要进行其它操作...还是下面一句就将模块卸载了. CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,me.modBaseAddr,0,NULL); (VC中好像没有me关键字吧,modBaseAddr是否指的要卸载模块的加载基址?) 2007-6-1 14:05 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼 MODULEENTRY32 me; 2007-6-1 14:12 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 5 楼对先用系统快照把目标进程中模块的句柄弄出来。然后创建远程线程，用FreeLibrary就可以了。 2007-6-2 10:53 0
HSXiaogang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 100 粉丝 0 关注私信	HSXiaogang 6 楼谢谢指点我试了一下，确实可以，但是好像不能强制卸载，从我调试程序的结果看来，如果目标进程已经加载了这个模块，但没有调用它，是可以卸载的。但是若目标进程正在调用这个模块，就无法卸载。我想像IceSword那样，有强制卸载的功能，哪怕引起目标进程崩溃，也可以接受。不知这种方法如何实现...? 2007-6-2 20:11 0
yAngtAi 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	yAngtAi 7 楼 >我想像IceSword那样，有强制卸载的功能，哪怕引起目标进程崩溃，也可以接受。不知这种方法如何实现...? 调用ntdll.dll 导出的 NtUnmapViewOfSection( HANDLE hProcess, PVOID Address)参数1句柄,参数2基地址 2007-8-27 16:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复