elva

利用NtUnmapViewOfSection強制卸載模塊

確實可以卸載指定進程指定位置的模塊，但有幾個問題：
[1] PEB的模塊列表中還存在該模塊的記錄，大部分模塊枚舉函數都是枚舉這個列表
[2] 可能會出現訪問異常

看來RING3下是不可能做到強制卸載模塊的完美實現，要進ring0才行。下面是測試代碼

typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )

{

HMODULE hModule = GetModuleHandle ( L"ntdll.dll" ) ;

if ( hModule == NULL )

hModule = LoadLibrary ( L"ntdll.dll" ) ;

PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;

HANDLE hProcess = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;

ULONG ret = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;

CloseHandle ( hProcess ) ;

return ret ? false : true ;

}

posted on 2007-09-24 15:08 葉子閱讀(4837) 評論(2) 編輯收藏引用所屬分類: 技術研究

Feedback

# re: 利用NtUnmapViewOfSection強制卸載模塊 2009-09-05 03:05 mszjk

這是ring0的代碼么? 回復更多評論

# re: 利用NtUnmapViewOfSection強制卸載模塊 [未登錄] 2014-07-28 18:19 小學畢業生

NtUnmapViewOfSection可以再Ring3下使用。
我用VB做給你看
Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long
Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private Sub UnloadNtdll(ByVal PID As Long)
Dim hProc As Long
hProc = OpenProcess(&h8 Or &H400, False, PID)
If hProc = 0 Then Exit Sub
NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")
CloseHandle hProc
End Sub 回復更多評論

刷新評論列表

只有注冊用戶登錄后才能發表評論。


相關文章: 軟件編程21法則 Linux對稀疏（Sparse）文件的支持 CFileDialog 異常退出的問題 [轉]一段精巧的代碼~~ring3文件占坑大法清空代碼防止查看源代碼(ZT) JavaScript加密解密7種方法調用未知DLL中的導出函數 AK922: 突破磁盤低級檢測實現文件隱藏實用級反主動防御rootkit設計思路感染EXE

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

統計信息

隨筆 - 202
文章 - 1
評論 - 115
Trackbacks - 0

News

當你對某個領域感興趣時，你會在走路、上課或洗澡時都對它念念不忘，你在該領域內就更容易取得成功。更進一步，如果你對該領域有激情，你就可能為它廢寢忘食，連睡覺時想起一個主意，都會跳起來

常用鏈接

留言簿(19)

隨筆分類

隨筆檔案

相冊

1
2
3
other

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品