2. 程式人生 > >DLL注入與解除安裝

DLL注入與解除安裝

阿新 發佈:2019-01-25

DLL注入可用於編寫外掛和病毒不易發現。

void CInjectDllToolDlg::StartInject(char *path, int pid)
{
	int pathLen = strlen(path)+sizeof(char);//獲取dll目錄大小
	HANDLE hPro = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
	if (!hPro)
	{
		MessageBox("開啟程序失敗", "警告", 0);
		return;
	}
	//在該程序申請記憶體,用來存放path資料
	LPVOID dllAddr = VirtualAllocEx(hPro, NULL, pathLen, MEM_COMMIT, PAGE_READWRITE);
	if (!dllAddr)
	{
		MessageBox("獲取地址失敗", "警告", 0);
		CloseHandle(hPro);
		return;
	}
	//在申請的記憶體中寫入path
	DWORD wNum = 0;
	if (!WriteProcessMemory(hPro, dllAddr, path, pathLen, &wNum))
	{
		MessageBox("寫入失敗", "警告", 0);
		VirtualFreeEx(hPro, dllAddr, pathLen, MEM_DECOMMIT);
		CloseHandle(hPro);
		return;
	}
	//獲取loadlibrary函式地址
	FARPROC pFun = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");

	if (!pFun)
	{
		MessageBox("獲取函式失敗", "警告", 0);
		VirtualFreeEx(hPro, dllAddr, pathLen, MEM_DECOMMIT);
		CloseHandle(hPro);
		return;
	}
	DWORD dwPid;
	HANDLE hThread = CreateRemoteThread(hPro, NULL, 0, (LPTHREAD_START_ROUTINE)pFun, dllAddr, 0, &dwPid);
	if (!hThread)
	{
		MessageBox("注入失敗", "警告", 0);
		VirtualFreeEx(hPro, dllAddr, pathLen, MEM_DECOMMIT);
		CloseHandle(hPro);
		return;
	}
	DWORD errorNum = GetLastError();
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	CloseHandle(hPro);
}
這個只適用於xp系統,win7系統不可以隨便CreateRemoteThread了,返回值一直為NULL

Dll解除安裝與注入流程大體相同,先建立 程序快照找到相應的執行緒模組,獲取FreeLibrary地址,再建立遠端執行緒解除安裝

void UnInjectDll(char *szDllName, DWORD dwPid)
{
	if(dwPid==0 || strlen(szDllName)==0)
	{
		AfxMessageBox("輸入資訊不全");
		return;
	}
	//建立程序快照
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwPid);
	MODULEENTRY32 ME32 = {0};
	ME32.dwSize = sizeof(MODULEENTRY32);
	BOOL isNext = Module32First(hSnap,&ME32);
	BOOL flag = FALSE;
	while(isNext)
	{
		if(strcmp(ME32.szModule,szDllName)==0)
		{
			flag = TRUE;
			break;
		}
		isNext = Module32Next(hSnap,&ME32);
	}
	if(flag == FALSE)
	{
		AfxMessageBox("找不到目標模組");
		return;
	}
	CloseHandle(hSnap);
	HANDLE hPro = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);
	FARPROC pFun = GetProcAddress(GetModuleHandle("kernel32.dll"),"FreeLibrary");
	HANDLE hThread = CreateRemoteThread(hPro,NULL,0,(LPTHREAD_START_ROUTINE)pFun,ME32.szModule,0,NULL);
	if(!hThread)
	{
		AfxMessageBox("建立遠端執行緒失敗");
		return ;
	}
	AfxMessageBox("解除安裝成功");
	WaitForSingleObject(hThread,INFINITE);
	CloseHandle(hThread);
	CloseHandle(hPro);
}


相關推薦

DLL注入解除安裝

DLL注入可用於編寫外掛和病毒不易發現。 void CInjectDllToolDlg::StartInject(char *path, int pid) { int pathLen = strlen(path)+sizeof(char);//獲取dll目錄大小 HA

dll 載入解除安裝的順序研究

之前寫過一篇DLL 載入解除安裝的文章,不太好,重寫一下,更深入一點。 兩個組或者兩個公司獨立的開發可能用來組成同一個產品的元件,但是他們必須獨立的構建、測試和提交他們的工作。元件粒度很難是正確的且與怎麼對元件是最好的這樣的問題無關。取而代之的是,一個元件是怎樣才能對公司最好(團隊不

MySQL安裝,配置解除安裝

一  MySQL安裝 1、開啟下載的mysql安裝檔案,雙擊執行 如果沒有安裝包可以去我的部落格資源裡面下載: https://download.csdn.net/download/wangfengfans/10379472   &nbs

磁碟管理(裝置的檢視、掛載解除安裝、磁碟分割槽、swap分割槽的建立刪除、磁碟配額)

磁碟管理 概述: 分割槽:磁碟上的分割槽規劃 硬碟:是一種儲存裝置,可劃分分割槽(可見的) 硬碟與系統的關係: 系統管理硬碟 硬碟儲存系統資訊 1.本地儲存裝置的檢視 fdisk 是用於管理磁碟分割槽的實用程式 fdisk -l #檢視

Ubuntu安裝解除安裝Mysql

安裝mysql 步驟: 1. sudoapt-get install mysql-server   2. apt-getisntall mysql-client   3. sudo apt-get install libmysqlclie

weblogic10補丁升級解除安裝

1、首先將補丁包解壓放在weblogic的utils/bsu/cache_dir資料夾下,如果沒有該資料夾,則手動建立。 2、回到bsu目錄,執行安裝命令 C:\Oracle\Middleware\utils\bsu>bsu.cmd -install -patch_download_dir=c

linux deb包的安裝解除安裝

通過deb包安裝軟體: sudo dpkg -i package_file.deb 解除安裝: sudo dpkg -r package_name 注意,解除安裝時候是package_file.deb對應的package name 若不知道package name,可以通過

冰點還原8.57(Deep Freeze) 主要功能解除安裝說明 附最新版下載連結

Deep Freeze 即可用作普通家庭使用者對計算機的備份和還原軟體,也適用於網咖、機房等使用人群眾多,對系統使用和改變的頻率很高的工作環境。無論你的系統被更改成什麼狀態,使用DeepFreeze都可以使你的系統、分割槽、磁碟恢復到你所設定的最佳狀態!所以冰點還原精靈(DeepFreeze

centos下軟體的安裝解除安裝

linux下安裝軟體,如何知道軟體安裝位置 注:一般的軟體的預設安裝目錄在/usr/local或者/opt裡,可以到那裡去找找. 指令名稱:whereis 功能介紹:在特定目錄中查詢符合條件的檔案。這些檔案的烈性應屬於原始程式碼,二進位制檔案,或是幫助檔案。 語法格式:whereis [-bfmsu]

deepin15.7安裝解除安裝MySQL(解決不提示設定密碼問題)、修改預設編碼為utf-8以及查詢MySQL的一些命令

一、首先安裝MySQL 安裝前更新一下倉庫,輸入命令:sudo apt-get update [email protected]:~$ sudo apt-get autoremove --purge mysql-server-5.7 輸入命令:sudo

C++builder 元件的安裝解除安裝

寫下此文章是為了那些還還沒有接觸過第三方控制元件的,而又為第三方控制元件的安裝與解除安裝而煩惱的開發人員。就我所瞭解與使用過的有Raize、DevExpress、SuiPack、DBGridEh、FastReport等。     而如何正確的安裝與解除安裝呢?

在Ubuntu16.04下安裝MySQL解除安裝

  首先執行下面三條命令: sudo apt-get install mysql-server sudo apt install mysql-client sudo apt install libmysqlclient-dev 安裝成功後可以通過下面的命令測試是否安裝成功

Windows服務的安裝解除安裝

Windows服務的安裝與解除安裝。 1、服務資訊的設定 首先建立一個Windows服務專案,本示例中的專案名稱為:MyTest.WindowsService。 編寫服務啟動和關閉方法,記錄一些日誌資訊,方便後續檢視服務的狀態。 using System; using Syste

Linux系統安裝解除安裝軟體包

一、使用rpm命令安裝與解除安裝軟體包 1、檢視已安裝的rpm包 rpm -qa|grep filename 2、檢視rpm包的相關資訊 rpm -qi filename 3、列出一個rpm包中所安裝的檔案 rpm -ql filename 4、檢視某個檔案屬

Centos環境下htop的安裝解除安裝

操作環境 版本 :Xshell6.0 + CentOS 7.5.1804 ( VMware 14.1.2) 檢視系統版本:~]# cat /etc/redhat-release 一、更新yum為國內源 1、備份原始檔  mv /etc/yum.repos.d/Cen

Centos7.4下的docker的安裝解除安裝

1.更新yum命令: sudo yum update 2.安裝docker: yum install docker 3.啟動docker systemctl start docker docker就安裝完成並啟動了。附上docker一些常用的命令: 檢視映象列表

程序管理利器Supervisor--centos7下安裝解除安裝

目錄 概述 環境準備 檢查python環境 線上安裝 配置Supervisor 啟動並驗證 概述     Supervisor的安裝可以有線上安裝和離線安裝兩種方式。安裝方式取決於伺服器是否聯網,聯網的話可採用線上安裝,否則採用離線安裝。

sublime_text2/3常用外掛安裝解除安裝

sublime_text常用外掛安裝 1.開啟sublime text後按ctrl+shift+p。 2.在彈出的輸入框中輸入install Package回車。 3.在彈出的輸入框中輸入需要安裝的外掛名稱回車即可。 sublime_text常用外掛解除安裝 1.開

Cloudera Manager離線安裝解除安裝【按照此文章可以解除安裝乾淨,然後執行cm5的bin檔案重新安裝,不推薦此安裝方法】

文章來源:http://www.chinahadoop.cn/group/5/thread/19 最近一直很苦惱,因為一直不知道Clouder Manager的離線安裝與解除安裝,在生產環境中無法直接通過cm安裝cdh。終於,皇天不負有心人,讓我找到了一份有關搭

Centos系統下docker的安裝解除安裝

Docker簡介 Docker 是一個開源的應用容器引擎,讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中,然後釋出到任何流行的 Linux 機器上,也可以實現虛擬化。容器是完全使用沙箱機制,相互之間不會有任何介面(類似 iPhone 的 app)。幾