自己学习时研究的DLL注入与卸载，32位和64位通用

曼菲士 · 发表于 2022-9-19 10:56:44

给小孩写了个电脑使用时间管理软件，为了防止被关闭，弄了个DLL注入来保护主程序，精易模块里的限制仅32位程序可用，只能自己重新写，为此借鉴了精易模块的同类功能代码，再结合其它C++源码总算弄好了一个用起来比较顺手的，32位和64位测试通过。
只是注入DLL时，32位主程序调用只能注入32位DLL到32位的目标进程中，代码不变，64位同样如此，但是交叉的话就会失败，我测试时只是改变编译程序位数就测试成功了，代码不用改变。
卸载DLL我借用了一点精易模块代码，用于查找DLL所在内存地址，这样卸载就没问题了，但是如果注入的DLL存在循环线程，一定要等待该线程完全关闭才能卸载，否则容易造成被注入的程序崩溃。
例如我是循环判断主进程是否存在，每3秒判断一次，在主进程中卸载已被注入的DLL时，执行了卸载后，等待3秒主程序才能结束自己，如果不等待这3秒，被注入的进程较大概率会崩溃，原因大概是主进程不在了，返回的代码找不到原调用它的代码内存，出现崩溃，大概是这意思。
让DLL自我卸载时也是一样，需要让有循环等待的线程退出后才能执行自我卸载。
卸载的崩溃问题我也是实践了不少时间才总结的大概。

下面时源码，切勿用于不好的地方，有需要的拿去，主要给新手学习，大佬随便跳过。

dzscuz · 发表于 2022-9-19 11:22:39

话不多，我先占一楼

揰掵佲 · 发表于 2022-9-19 11:37:52

线程_取远程DLL函数地址_1 取的实际是你的当前进程的不是远程的
GetModuleHandleA 这些都是取自身的...

pjm123 · 发表于 2022-9-19 12:15:52

谢谢分享

曼菲士 · 发表于 2022-9-19 12:46:42

揰掵佲发表于 2022-9-19 11:37
线程_取远程DLL函数地址_1 取的实际是你的当前进程的不是远程的
GetModuleHandleA 这些都是取自身的... ...

是的，这个测试方法忘记删除了，因为该方法原本是使用DLL注入方式获取远程GetModuleHandleA地址后再运行后续枚举目标进程DLL信息的，结果发现GetExitCodeThread只能取4位的地址，64位下是8位，无法取得完整地址的话等于是只能32位下使用，而我要用的是64位系统，所以就放弃使用了，改为用另一种方法【线程_取远程DLL句柄_1】来实现卸载。

江小白666 · 发表于 2022-9-19 14:09:29

学习下。。。。。。。。。。。。。。。

揰掵佲 · 发表于 2022-9-19 15:41:32

曼菲士发表于 2022-9-19 12:46
是的，这个测试方法忘记删除了，因为该方法原本是使用DLL注入方式获取远程GetModuleHandleA地址后再运行后 ...

可以通过枚举导出函数得到这个地址..

曼菲士 · 发表于 2022-9-19 16:53:49

揰掵佲发表于 2022-9-19 15:41
可以通过枚举导出函数得到这个地址..

精易模块不知道是哪个命令可以实现？目前我只知道C++里用GetModuleInformation，不过得研究一下怎么弄。

FaceAbout · 发表于 2022-10-14 08:58:35

自己学习时研究的DLL注入与卸载，32位和64位通用

FaceAbout · 发表于 2022-10-14 08:58:49

自己学习时研究的DLL注入与卸载，32位和64位通用

		自动登录	找回密码
密码			注册

[火山PC源码] 自己学习时研究的DLL注入与卸载，32位和64位通用

本帖子中包含更多资源

评分