[求助]如何安全卸载进程中的非必要模块？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 2 楼哇靠。半夜来顶下。 2009-8-16 00:54 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼不知所云。。。 2009-8-16 04:51 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 4 楼。。。原来是我说的不清楚啊？例如：我们的正在运行的一个进程，被注入了一个木马的dll. 这个dll会有一个或者几个线程在不停的监视着我们的系统，如果这时候强行卸载这个dll.主进程也会挂掉。所以我想出以上两个办法。。不知道各位看官不否听明白了？ 2009-8-16 12:06 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 5 楼找出属于那个模块的线程，然后terminate掉，有线程在那运行那哪能叫"非必要模块"? 2009-8-16 13:09 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 6 楼理解问题，不懂解决。坐等牛人来回答 2009-8-16 13:16 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 7 楼那个是木马dll的话，你说是必要的吗？测试了上面说的两种办法，应该都是可行的只是查找线程所属模块的时候估计就只有旧贴里面的一个什么zwquery函数 9号功能吧另外，安装异常处理的时候，打算注入DLL安装，不过我现在又想把函数体直接写进去，还没这样做过，找找资料 2009-8-16 13:29 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 8 楼抄下人家代码，终止对应的线程算了。- -\|+ MFC当个个小工具- - 上传的附件：未命名.jpg （78.13kb，83次下载） 2009-8-16 15:49 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 9 楼用SuspendThread 暂停所有线程读取Dll的所有内容 CreateRemoteThread(FreeLibrary,(LPVOID)ModuleHandle);//其他参数略多试几次直到Dll卸载在老地方VirtualAllocEx，然后复制回去最后ResumeThread 存在的问题是可能其他线程正拿着 LoaderLock 就会死锁这个思路怎么样？ 2009-8-16 17:24 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 10 楼模块在卸载前会触发unload事件主进程挂掉有可能是作者故意为之结束它创建的线程是没用的直接阻止系统进线程创建卸载后瞬间把他删掉在次运行就不会加载了 2009-8-16 17:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 2 楼哇靠。半夜来顶下。 2009-8-16 00:54 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼不知所云。。。 2009-8-16 04:51 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 4 楼。。。原来是我说的不清楚啊？例如：我们的正在运行的一个进程，被注入了一个木马的dll. 这个dll会有一个或者几个线程在不停的监视着我们的系统，如果这时候强行卸载这个dll.主进程也会挂掉。所以我想出以上两个办法。。不知道各位看官不否听明白了？ 2009-8-16 12:06 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 5 楼找出属于那个模块的线程，然后terminate掉，有线程在那运行那哪能叫"非必要模块"? 2009-8-16 13:09 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 6 楼理解问题，不懂解决。坐等牛人来回答 2009-8-16 13:16 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 7 楼那个是木马dll的话，你说是必要的吗？测试了上面说的两种办法，应该都是可行的只是查找线程所属模块的时候估计就只有旧贴里面的一个什么zwquery函数 9号功能吧另外，安装异常处理的时候，打算注入DLL安装，不过我现在又想把函数体直接写进去，还没这样做过，找找资料 2009-8-16 13:29 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 8 楼抄下人家代码，终止对应的线程算了。- -\|+ MFC当个个小工具- - 上传的附件：未命名.jpg （78.13kb，83次下载） 2009-8-16 15:49 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 9 楼用SuspendThread 暂停所有线程读取Dll的所有内容 CreateRemoteThread(FreeLibrary,(LPVOID)ModuleHandle);//其他参数略多试几次直到Dll卸载在老地方VirtualAllocEx，然后复制回去最后ResumeThread 存在的问题是可能其他线程正拿着 LoaderLock 就会死锁这个思路怎么样？ 2009-8-16 17:24 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 10 楼模块在卸载前会触发unload事件主进程挂掉有可能是作者故意为之结束它创建的线程是没用的直接阻止系统进线程创建卸载后瞬间把他删掉在次运行就不会加载了 2009-8-16 17:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复