elva

利用NtUnmapViewOfSection強制卸載模塊

確實可以卸載指定進(jìn)程指定位置的模塊，但有幾個問題：
[1] PEB的模塊列表中還存在該模塊的記錄，大部分模塊枚舉函數(shù)都是枚舉這個列表
[2] 可能會出現(xiàn)訪問異常

看來RING3下是不可能做到強制卸載模塊的完美實現(xiàn)，要進(jìn)ring0才行。下面是測試代碼

typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )

{

HMODULE hModule = GetModuleHandle ( L"ntdll.dll" ) ;

if ( hModule == NULL )

hModule = LoadLibrary ( L"ntdll.dll" ) ;

PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;

HANDLE hProcess = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;

ULONG ret = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;

CloseHandle ( hProcess ) ;

return ret ? false : true ;

}

posted on 2007-09-24 15:08 葉子閱讀(4832) 評論(2) 編輯收藏引用所屬分類: 技術(shù)研究

Feedback

# re: 利用NtUnmapViewOfSection強制卸載模塊 2009-09-05 03:05 mszjk

這是ring0的代碼么? 回復(fù) 更多評論

# re: 利用NtUnmapViewOfSection強制卸載模塊 [未登錄] 2014-07-28 18:19 小學(xué)畢業(yè)生

NtUnmapViewOfSection可以再Ring3下使用。
我用VB做給你看
Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long
Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private Sub UnloadNtdll(ByVal PID As Long)
Dim hProc As Long
hProc = OpenProcess(&h8 Or &H400, False, PID)
If hProc = 0 Then Exit Sub
NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")
CloseHandle hProc
End Sub 回復(fù) 更多評論

刷新評論列表

只有注冊用戶登錄后才能發(fā)表評論。


相關(guān)文章: 軟件編程21法則 Linux對稀疏（Sparse）文件的支持 CFileDialog 異常退出的問題 [轉(zhuǎn)]一段精巧的代碼~~ring3文件占坑大法清空代碼防止查看源代碼(ZT) JavaScript加密解密7種方法調(diào)用未知DLL中的導(dǎo)出函數(shù) AK922: 突破磁盤低級檢測實現(xiàn)文件隱藏實用級反主動防御rootkit設(shè)計思路感染EXE

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

導(dǎo)航

統(tǒng)計信息

隨筆 - 202
文章 - 1
評論 - 115
Trackbacks - 0

News

當(dāng)你對某個領(lǐng)域感興趣時，你會在走路、上課或洗澡時都對它念念不忘，你在該領(lǐng)域內(nèi)就更容易取得成功。更進(jìn)一步，如果你對該領(lǐng)域有激情，你就可能為它廢寢忘食，連睡覺時想起一個主意，都會跳起來

常用鏈接

留言簿(19)

隨筆分類

隨筆檔案

相冊

1
2
3
other

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品