• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        


            


            elva
            

            

            

            
	
					
	
            
		
            
			利用NtUnmapViewOfSection強制卸載模塊 
		
            
		確實可以卸載指定進程指定位置的模塊,但有幾個問題:
            [1]  PEB的模塊列表中還存在該模塊的記錄,大部分模塊枚舉函數都是枚舉這個列表
            [2]  可能會出現訪問異常

            看來RING3下是不可能做到強制卸載模塊的完美實現,要進ring0才行。下面是測試代碼
            

            

            typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

            BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )
            {
                HMODULE hModule             = GetModuleHandle ( L"ntdll.dll" ) ;
                            if ( hModule == NULL )
                    hModule             = LoadLibrary ( L"ntdll.dll" ) ;

                PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection             = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;
                
                HANDLE hProcess             = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;
                ULONG    ret             = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;
                CloseHandle ( hProcess ) ;
                            return ret ? false : true ;
            }
            

            

            

		
            
			posted on 2007-09-24 15:08 葉子 閱讀(4801) 評論(2)  編輯 收藏 引用  所屬分類: 技術研究 
		
            
	
            
	
	





            
	    
    


            

            Feedback
            
	
	
			
            
				# re: 利用NtUnmapViewOfSection強制卸載模塊 
					
						2009-09-05 03:05
					
				mszjk
			
            
			
            
				這是ring0的代碼么?  回復  更多評論
				  
			
            
		
			
            
				# re: 利用NtUnmapViewOfSection強制卸載模塊 [未登錄]
					
						2014-07-28 18:19
					
				小學畢業(yè)生
			
            
			
            
				NtUnmapViewOfSection可以再Ring3下使用。

            我用VB做給你看

            Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long

            Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long

            Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long

            Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

            Private Sub UnloadNtdll(ByVal PID As Long)

            Dim hProc As Long

            hProc = OpenProcess(&h8 Or &H400, False, PID)

            If hProc = 0 Then Exit Sub

            NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")

            CloseHandle hProc

            End Sub  回復  更多評論
				  
			
            
		

            




            






            

				

            







    
    







            
	   
	



色狠狠久久AV五月综合|
精品国产91久久久久久久|
欧美精品一本久久男人的天堂|
人人狠狠综合久久88成人|
国产精品久久久久AV福利动漫|
狠狠狠色丁香婷婷综合久久俺|
国产成人精品久久亚洲|
综合久久一区二区三区
|
亚洲伊人久久大香线蕉苏妲己|
中文字幕亚洲综合久久2|
久久综合精品国产一区二区三区
|
欧美午夜A∨大片久久
|
久久水蜜桃亚洲av无码精品麻豆|
精品久久人妻av中文字幕|
久久久不卡国产精品一区二区|
久久AV高潮AV无码AV|
青青青伊人色综合久久|
国内精品伊人久久久久妇|
成人资源影音先锋久久资源网|
伊人久久一区二区三区无码|
嫩草影院久久国产精品|
99精品久久久久久久婷婷|
2020最新久久久视精品爱|
久久久久久午夜成人影院|
亚洲欧美国产精品专区久久|
AV色综合久久天堂AV色综合在|
久久人人爽人人澡人人高潮AV|
精品国产福利久久久|
久久天天躁狠狠躁夜夜96流白浆|
亚州日韩精品专区久久久|
91久久精品国产91性色也|
久久精品黄AA片一区二区三区|
久久久久亚洲国产|
手机看片久久高清国产日韩|
亚洲午夜久久影院|
91久久福利国产成人精品|
国产精品一久久香蕉国产线看|
狼狼综合久久久久综合网|
中文字幕乱码人妻无码久久|
国产精品久久新婚兰兰|
99久久综合国产精品免费|