S.l.e!ep.￠%

二、 利用CreateRemoteThread在遠(yuǎn)程進(jìn)程中卸載模塊也應(yīng)該是沒有問題的。

FreeLibrary(HMODULE );
ThreadFunc(LPVOID );
thread_proc(void* );

指針為了能指向64位的地址空間， 需要64位長。
HMODULE用來表示模塊的基地址， 而地址空間是64位， HMODULE也需要64位。

所以仍然可以
以模塊卸載函數(shù)為線程函數(shù)
以被加載模塊句柄為線程參數(shù)
啟動遠(yuǎn)程線程
CreateRemoteThread( ... , FreeLibrary , hModule , ... );

三、 問題發(fā)生在：

如何取得被遠(yuǎn)程進(jìn)程加載的模塊句柄？

??? 三.1、 線程返回值

線程函數(shù)的原型從返回值類型可以分為2種： DWORD和unsigned

可以說，返回機(jī)器字長， 也就是unsigned是比較合理的。
而依賴于返回DWORD的代碼也不會因?yàn)榉祷仡愋透臑閡nsigned而出問題。
因?yàn)榍罢咝枨蟾伲?后者給于更多。
前者還需要作一次截?cái)啵?來取得32位的DWORD返回值。

線程函數(shù)以DWORD的原因， 可能是在16位機(jī)器上， 如果使用機(jī)器字長作返回值， 取值范圍太少。
所以，線程函數(shù)的返回值， 有可能會改為 uint_least32_t
16位機(jī)器上， 使用2個機(jī)器字長拼裝返回值? 32位
32位機(jī)器上， 使用機(jī)器字長作返回值?????????? ?32位
64位機(jī)器上， 使用機(jī)器字長作返回值??????????? 64位

也就是說， 線程函數(shù)是有可能返回64位的模塊句柄的。
為什么不呢？? 難道要在返回前作沒必要的自行截?cái)嗝矗?br />
??? 三.2、 取得線程返回值

BOOL GetExitCodeThread(HANDLE thread,LPDWORDresult);

可以將第2個參數(shù)改為指向機(jī)器字長數(shù)據(jù)的指針么？? 也許不能。
因?yàn)楹瘮?shù)要求更多 ： result必須是指向機(jī)器字長數(shù)據(jù)的指針， 即result所指的連續(xù)8個字節(jié)都是可寫的。
但調(diào)用者提供更少 ： 調(diào)用者很有可能不提供機(jī)器字長， 而只提供指向連續(xù)4個字節(jié)的指針。

想想如下代碼是多么普遍（尤其是喜歡使用windows定義的數(shù)據(jù)類型的同學(xué)）
DWORD code = 0;
GetExitCodeThread( thread , &code );
GetExitCodeThread絕對不可以寫入8字節(jié)內(nèi)容。

所以， 很有可能無法取得前一步所加載的模塊的句柄， 從而無法卸載。



四、 總結(jié)

在64位機(jī)上， 仍然可以使用該技術(shù)遠(yuǎn)程加載模塊。

但是否可以卸載， 還得看：
1. 64位的線程返回值類型
2. 取得線程返回值的函數(shù)能夠取得多少字節(jié)的返回值。
如果2者都是64位， 該技術(shù)依然可行。