• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        


            


            elva
            

            

            

            
	
					
	
            
		
            
			利用NtUnmapViewOfSection強制卸載模塊 
		
            
		確實可以卸載指定進程指定位置的模塊,但有幾個問題:
            [1]  PEB的模塊列表中還存在該模塊的記錄,大部分模塊枚舉函數都是枚舉這個列表
            [2]  可能會出現訪問異常

            看來RING3下是不可能做到強制卸載模塊的完美實現,要進ring0才行。下面是測試代碼
            

            

            typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

            BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )
            {
                HMODULE hModule             = GetModuleHandle ( L"ntdll.dll" ) ;
                            if ( hModule == NULL )
                    hModule             = LoadLibrary ( L"ntdll.dll" ) ;

                PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection             = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;
                
                HANDLE hProcess             = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;
                ULONG    ret             = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;
                CloseHandle ( hProcess ) ;
                            return ret ? false : true ;
            }
            

            

            

		
            
			posted on 2007-09-24 15:08 葉子 閱讀(4777) 評論(2)  編輯 收藏 引用  所屬分類: 技術研究 
		
            
	
            
	
	





            
	    
    


            

            Feedback
            
	
	
			
            
				# re: 利用NtUnmapViewOfSection強制卸載模塊 
					
						2009-09-05 03:05
					
				mszjk
			
            
			
            
				這是ring0的代碼么?  回復  更多評論
				  
			
            
		
			
            
				# re: 利用NtUnmapViewOfSection強制卸載模塊 [未登錄]
					
						2014-07-28 18:19
					
				小學畢業生
			
            
			
            
				NtUnmapViewOfSection可以再Ring3下使用。

            我用VB做給你看

            Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long

            Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long

            Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long

            Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

            Private Sub UnloadNtdll(ByVal PID As Long)

            Dim hProc As Long

            hProc = OpenProcess(&h8 Or &H400, False, PID)

            If hProc = 0 Then Exit Sub

            NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")

            CloseHandle hProc

            End Sub  回復  更多評論
				  
			
            
		

            




            






            

				

            







    
    







            
	   
	



色综合合久久天天综合绕视看|
国产精品99久久久精品无码|
东京热TOKYO综合久久精品|
亚洲精品乱码久久久久66|
人妻少妇久久中文字幕一区二区|
综合人妻久久一区二区精品|
www.久久热|
欧美伊人久久大香线蕉综合|
91久久精品91久久性色|
欧美激情精品久久久久久久九九九|
男女久久久国产一区二区三区|
色成年激情久久综合|
久久久久久伊人高潮影院|
国产精品久久久久影院色|
精品一二三区久久aaa片|
国产精品狼人久久久久影院|
无码精品久久久久久人妻中字|
成人国内精品久久久久影院VR|
久久午夜夜伦鲁鲁片免费无码影视|
99久久精品国产麻豆|
久久婷婷人人澡人人爽人人爱
|
国产精品一区二区久久|
欧美伊人久久大香线蕉综合69|
久久美女网站免费|
久久精品aⅴ无码中文字字幕重口|
久久久久国产视频电影|
国产精品毛片久久久久久久|
久久香综合精品久久伊人|
久久99热这里只频精品6|
午夜肉伦伦影院久久精品免费看国产一区二区三区
|
亚洲AV无码久久精品蜜桃|
精品久久久久久无码人妻热|
久久精品国产亚洲av日韩|
亚洲AV无码久久寂寞少妇|
久久久久亚洲AV无码观看|
久久伊人亚洲AV无码网站|
国产精品免费久久久久电影网|
99精品久久精品|
伊人久久综合热线大杳蕉下载|
国产精品美女久久久|
亚洲国产成人久久综合碰碰动漫3d
|