• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        


            


            elva
            

            

            

            
	
					
	
            
		
            
			利用NtUnmapViewOfSection強制卸載模塊 
		
            
		確實可以卸載指定進程指定位置的模塊,但有幾個問題:
            [1]  PEB的模塊列表中還存在該模塊的記錄,大部分模塊枚舉函數都是枚舉這個列表
            [2]  可能會出現訪問異常

            看來RING3下是不可能做到強制卸載模塊的完美實現,要進ring0才行。下面是測試代碼
            

            

            typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

            BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )
            {
                HMODULE hModule             = GetModuleHandle ( L"ntdll.dll" ) ;
                            if ( hModule == NULL )
                    hModule             = LoadLibrary ( L"ntdll.dll" ) ;

                PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection             = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;
                
                HANDLE hProcess             = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;
                ULONG    ret             = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;
                CloseHandle ( hProcess ) ;
                            return ret ? false : true ;
            }
            

            

            

		
            
			posted on 2007-09-24 15:08 葉子 閱讀(4815) 評論(2)  編輯 收藏 引用  所屬分類: 技術研究 
		
            
	
            
	
	





            
	    
    


            

            Feedback
            
	
	
			
            
				# re: 利用NtUnmapViewOfSection強制卸載模塊 
					
						2009-09-05 03:05
					
				mszjk
			
            
			
            
				這是ring0的代碼么?  回復  更多評論
				  
			
            
		
			
            
				# re: 利用NtUnmapViewOfSection強制卸載模塊 [未登錄]
					
						2014-07-28 18:19
					
				小學畢業生
			
            
			
            
				NtUnmapViewOfSection可以再Ring3下使用。

            我用VB做給你看

            Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long

            Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long

            Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long

            Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

            Private Sub UnloadNtdll(ByVal PID As Long)

            Dim hProc As Long

            hProc = OpenProcess(&h8 Or &H400, False, PID)

            If hProc = 0 Then Exit Sub

            NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")

            CloseHandle hProc

            End Sub  回復  更多評論
				  
			
            
		

            




            






            

				

            







    
    







            
	   
	



久久久青草青青国产亚洲免观|
久久久一本精品99久久精品88|
久久国产成人精品麻豆|
99久久免费只有精品国产|
久久精品国产欧美日韩99热|
久久人妻少妇嫩草AV无码专区|
国产亚洲欧美成人久久片|
色综合合久久天天给综看|
97热久久免费频精品99|
久久免费国产精品|
AV狠狠色丁香婷婷综合久久|
亚洲成av人片不卡无码久久|
久久免费视频观看|
少妇人妻88久久中文字幕|
久久午夜无码鲁丝片午夜精品|
精品久久久久久成人AV|
久久精品国产亚洲AV忘忧草18|
色综合久久天天综合|
久久国产欧美日韩精品|
久久精品中文无码资源站|
精品无码人妻久久久久久|
久久精品一区二区|
精品久久一区二区三区|
国色天香久久久久久久小说|
中文成人久久久久影院免费观看|
国产福利电影一区二区三区,免费久久久久久久精
|
久久久久久毛片免费播放|
亚洲欧美久久久久9999|
日韩欧美亚洲综合久久影院Ds|
亚洲午夜精品久久久久久人妖|
精品午夜久久福利大片|
久久一日本道色综合久久|
久久久无码精品亚洲日韩蜜臀浪潮|
亚洲午夜久久久久久久久久|
久久久久久久女国产乱让韩|
亚洲日本va午夜中文字幕久久|
亚洲欧美成人久久综合中文网
|
国产精品美女久久久m|
久久av无码专区亚洲av桃花岛|
亚洲精品无码久久毛片|
久久久www免费人成精品|