S.l.e!ep.￠%

二、 利用CreateRemoteThread在遠程進程中卸載模塊也應該是沒有問題的。

FreeLibrary(HMODULE );
ThreadFunc(LPVOID );
thread_proc(void* );

指針為了能指向64位的地址空間， 需要64位長。
HMODULE用來表示模塊的基地址， 而地址空間是64位， HMODULE也需要64位。

所以仍然可以
以模塊卸載函數(shù)為線程函數(shù)
以被加載模塊句柄為線程參數(shù)
啟動遠程線程
CreateRemoteThread( ... , FreeLibrary , hModule , ... );

三、 問題發(fā)生在：

如何取得被遠程進程加載的模塊句柄？

??? 三.1、 線程返回值

線程函數(shù)的原型從返回值類型可以分為2種： DWORD和unsigned

可以說，返回機器字長， 也就是unsigned是比較合理的。
而依賴于返回DWORD的代碼也不會因為返回類型改為unsigned而出問題。
因為前者需求更少， 后者給于更多。
前者還需要作一次截斷， 來取得32位的DWORD返回值。

線程函數(shù)以DWORD的原因， 可能是在16位機器上， 如果使用機器字長作返回值， 取值范圍太少。
所以，線程函數(shù)的返回值， 有可能會改為 uint_least32_t
16位機器上， 使用2個機器字長拼裝返回值? 32位
32位機器上， 使用機器字長作返回值?????????? ?32位
64位機器上， 使用機器字長作返回值??????????? 64位

也就是說， 線程函數(shù)是有可能返回64位的模塊句柄的。
為什么不呢？? 難道要在返回前作沒必要的自行截斷么？

??? 三.2、 取得線程返回值

BOOL GetExitCodeThread(HANDLE thread,LPDWORDresult);

可以將第2個參數(shù)改為指向機器字長數(shù)據(jù)的指針么？? 也許不能。
因為函數(shù)要求更多 ： result必須是指向機器字長數(shù)據(jù)的指針， 即result所指的連續(xù)8個字節(jié)都是可寫的。
但調(diào)用者提供更少 ： 調(diào)用者很有可能不提供機器字長， 而只提供指向連續(xù)4個字節(jié)的指針。

想想如下代碼是多么普遍（尤其是喜歡使用windows定義的數(shù)據(jù)類型的同學）
DWORD code = 0;
GetExitCodeThread( thread , &code );
GetExitCodeThread絕對不可以寫入8字節(jié)內(nèi)容。

所以， 很有可能無法取得前一步所加載的模塊的句柄， 從而無法卸載。



四、 總結

在64位機上， 仍然可以使用該技術遠程加載模塊。

但是否可以卸載， 還得看：
1. 64位的線程返回值類型
2. 取得線程返回值的函數(shù)能夠取得多少字節(jié)的返回值。
如果2者都是64位， 該技術依然可行。