elva

利用NtUnmapViewOfSection強(qiáng)制卸載模塊

確實(shí)可以卸載指定進(jìn)程指定位置的模塊，但有幾個(gè)問(wèn)題：
[1] PEB的模塊列表中還存在該模塊的記錄，大部分模塊枚舉函數(shù)都是枚舉這個(gè)列表
[2] 可能會(huì)出現(xiàn)訪問(wèn)異常

看來(lái)RING3下是不可能做到強(qiáng)制卸載模塊的完美實(shí)現(xiàn)，要進(jìn)ring0才行。下面是測(cè)試代碼

typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )

{

HMODULE hModule = GetModuleHandle ( L"ntdll.dll" ) ;

if ( hModule == NULL )

hModule = LoadLibrary ( L"ntdll.dll" ) ;

PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;

HANDLE hProcess = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;

ULONG ret = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;

CloseHandle ( hProcess ) ;

return ret ? false : true ;

}

posted on 2007-09-24 15:08 葉子閱讀(4832) 評(píng)論(2) 編輯收藏引用所屬分類: 技術(shù)研究

Feedback

# re: 利用NtUnmapViewOfSection強(qiáng)制卸載模塊 2009-09-05 03:05 mszjk

這是ring0的代碼么? 回復(fù) 更多評(píng)論

# re: 利用NtUnmapViewOfSection強(qiáng)制卸載模塊 [未登錄](méi) 2014-07-28 18:19 小學(xué)畢業(yè)生

NtUnmapViewOfSection可以再Ring3下使用。
我用VB做給你看
Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long
Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private Sub UnloadNtdll(ByVal PID As Long)
Dim hProc As Long
hProc = OpenProcess(&h8 Or &H400, False, PID)
If hProc = 0 Then Exit Sub
NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")
CloseHandle hProc
End Sub 回復(fù) 更多評(píng)論

刷新評(píng)論列表

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。


相關(guān)文章: 軟件編程21法則 Linux對(duì)稀疏（Sparse）文件的支持 CFileDialog 異常退出的問(wèn)題 [轉(zhuǎn)]一段精巧的代碼~~ring3文件占坑大法清空代碼防止查看源代碼(ZT) JavaScript加密解密7種方法調(diào)用未知DLL中的導(dǎo)出函數(shù) AK922: 突破磁盤低級(jí)檢測(cè)實(shí)現(xiàn)文件隱藏實(shí)用級(jí)反主動(dòng)防御rootkit設(shè)計(jì)思路感染EXE

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問(wèn) Chat2DB 管理

導(dǎo)航

統(tǒng)計(jì)信息

隨筆 - 202
文章 - 1
評(píng)論 - 115
Trackbacks - 0

News

當(dāng)你對(duì)某個(gè)領(lǐng)域感興趣時(shí)，你會(huì)在走路、上課或洗澡時(shí)都對(duì)它念念不忘，你在該領(lǐng)域內(nèi)就更容易取得成功。更進(jìn)一步，如果你對(duì)該領(lǐng)域有激情，你就可能為它廢寢忘食，連睡覺時(shí)想起一個(gè)主意，都會(huì)跳起來(lái)

常用鏈接

留言簿(19)

隨筆分類

隨筆檔案

相冊(cè)

1
2
3
other

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品