• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        


            


            elva
            

            

            

            
	
					
	
            
		
            
			利用NtUnmapViewOfSection強(qiáng)制卸載模塊 
		
            
		確實(shí)可以卸載指定進(jìn)程指定位置的模塊,但有幾個(gè)問(wèn)題:
            [1]  PEB的模塊列表中還存在該模塊的記錄,大部分模塊枚舉函數(shù)都是枚舉這個(gè)列表
            [2]  可能會(huì)出現(xiàn)訪問(wèn)異常

            看來(lái)RING3下是不可能做到強(qiáng)制卸載模塊的完美實(shí)現(xiàn),要進(jìn)ring0才行。下面是測(cè)試代碼
            

            

            typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

            BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )
            {
                HMODULE hModule             = GetModuleHandle ( L"ntdll.dll" ) ;
                            if ( hModule == NULL )
                    hModule             = LoadLibrary ( L"ntdll.dll" ) ;

                PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection             = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;
                
                HANDLE hProcess             = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;
                ULONG    ret             = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;
                CloseHandle ( hProcess ) ;
                            return ret ? false : true ;
            }
            

            

            

		
            
			posted on 2007-09-24 15:08 葉子 閱讀(4815) 評(píng)論(2)  編輯 收藏 引用  所屬分類: 技術(shù)研究 
		
            
	
            
	
	





            
	    
    


            

            Feedback
            
	
	
			
            
				# re: 利用NtUnmapViewOfSection強(qiáng)制卸載模塊 
					
						2009-09-05 03:05
					
				mszjk
			
            
			
            
				這是ring0的代碼么?  回復(fù)  更多評(píng)論
				  
			
            
		
			
            
				# re: 利用NtUnmapViewOfSection強(qiáng)制卸載模塊 [未登錄]
					
						2014-07-28 18:19
					
				小學(xué)畢業(yè)生
			
            
			
            
				NtUnmapViewOfSection可以再Ring3下使用。

            我用VB做給你看

            Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long

            Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long

            Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long

            Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

            Private Sub UnloadNtdll(ByVal PID As Long)

            Dim hProc As Long

            hProc = OpenProcess(&h8 Or &H400, False, PID)

            If hProc = 0 Then Exit Sub

            NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")

            CloseHandle hProc

            End Sub  回復(fù)  更多評(píng)論
				  
			
            
		

            




            






            

				

            







    
    







            
	   
	



亚洲国产一成久久精品国产成人综合|
日本强好片久久久久久AAA|
欧美一区二区精品久久|
国产成人精品久久亚洲高清不卡|
久久无码国产|
AV色综合久久天堂AV色综合在
|
2021久久国自产拍精品|
免费一级欧美大片久久网|
国产V综合V亚洲欧美久久|
欧美午夜A∨大片久久|
1000部精品久久久久久久久|
日韩欧美亚洲综合久久影院Ds|
精品久久久久中文字幕日本|
久久精品一区二区影院|
麻豆精品久久久一区二区|
久久久久波多野结衣高潮|
久久精品中文字幕一区|
2021精品国产综合久久|
色综合久久无码五十路人妻|
午夜精品久久久久久久无码|
热99re久久国超精品首页|
精品久久久久久亚洲精品|
性欧美大战久久久久久久久|
香蕉aa三级久久毛片|
久久综合视频网站|
久久天天日天天操综合伊人av|
91性高湖久久久久|
国产精品VIDEOSSEX久久发布|
国产精品天天影视久久综合网|
久久精品国产亚洲精品2020|
人妻丰满AV无码久久不卡|
色妞色综合久久夜夜|
人人狠狠综合久久88成人|
伊人久久大香线蕉av不变影院|
国产精品久久久久蜜芽|
欧美国产成人久久精品|
久久九九久精品国产免费直播|
久久亚洲精品成人无码网站|
少妇熟女久久综合网色欲|
久久人人爽人人人人爽AV|
久久精品九九亚洲精品|