Как выгрузить DLL из чужого процесса

Привет.Смог внедрить dll с помощью библиотеки Detours. Но вот беда-выгрузить ее не получается.....
Через CreateRemouteThread и FreeLibrary не получается.Только выгружаются те,кого загрузил в процесс с помощью
CreateRemouteThread и LoadLibrary.

 

А что пишет?

 

А ничего.Все ок!

Код (Text):

1. BOOL fOk = FALSE; // Assume that the function fails
2.   HANDLE hthSnapshot = NULL;
3.   HANDLE hProcess = NULL, hThread = NULL;
4.  
5.     // Grab a new snapshot of the process
6.     hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);
7.     if (hthSnapshot == NULL)
8.     {
9.  
10.       if (hthSnapshot != NULL)
11.         CloseHandle(hthSnapshot);
12.  
13.       if (hThread     != NULL)
14.         CloseHandle(hThread);
15.  
16.       if (hProcess    != NULL)
17.         CloseHandle(hProcess);
18.       return FALSE;
19.     }
20.  
21.     // Get the HMODULE of the desired library
22.     MODULEENTRY32W me = { sizeof(me) };
23.     BOOL fFound = FALSE;
24.     BOOL fMoreMods = Module32FirstW(hthSnapshot, &me);
25.     for (; fMoreMods; fMoreMods = Module32NextW(hthSnapshot, &me)) {
26.       fFound = (lstrcmpiW(me.szModule,  pszLibFile) == 0) ||
27.         (lstrcmpiW(me.szExePath, pszLibFile) == 0);
28.       if (fFound) break;
29.     }
30.     if (!fFound)
31.     {
32.  
33.       if (hthSnapshot != NULL)
34.         CloseHandle(hthSnapshot);
35.  
36.       if (hThread     != NULL)
37.         CloseHandle(hThread);
38.  
39.       if (hProcess    != NULL)
40.         CloseHandle(hProcess);
41.       return FALSE;
42.     }
43.  
44.     // Get a handle for the target process.
45.  
46.     hProcess = OpenProcess(
47.       PROCESS_QUERY_INFORMATION |   // Required by Alpha
48.       PROCESS_CREATE_THREAD     |
49.       PROCESS_VM_OPERATION,  // For CreateRemoteThread
50.       FALSE, dwProcessId);
51.     if (hProcess == NULL)
52.     {
53.  
54.       if (hthSnapshot != NULL)
55.         CloseHandle(hthSnapshot);
56.  
57.       if (hThread     != NULL)
58.         CloseHandle(hThread);
59.  
60.       if (hProcess    != NULL)
61.         CloseHandle(hProcess);
62.       return FALSE;
63.     }
64.  
65.     // Get the real address of LoadLibraryW in Kernel32.dll
66.     PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
67.       GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "FreeLibrary");
68.     if (pfnThreadRtn == NULL)
69.     {
70.  
71.       if (hthSnapshot != NULL)
72.         CloseHandle(hthSnapshot);
73.  
74.       if (hThread     != NULL)
75.         CloseHandle(hThread);
76.  
77.       if (hProcess    != NULL)
78.         CloseHandle(hProcess);
79.       return FALSE;
80.     }
81.  
82.     // Create a remote thread that calls LoadLibraryW(DLLPathname)
83.     hThread = CreateRemoteThread(hProcess, NULL, 0,
84.       pfnThreadRtn, me.modBaseAddr, 0, NULL);
85.     if (hThread == NULL)
86.      
87.     {
88.  
89.       if (hthSnapshot != NULL)
90.         CloseHandle(hthSnapshot);
91.  
92.       if (hThread     != NULL)
93.         CloseHandle(hThread);
94.  
95.       if (hProcess    != NULL)
96.         CloseHandle(hProcess);
97.       return FALSE;
98.     }
99.  
100.     // Wait for the remote thread to terminate
101.  DWORD ww= WaitForSingleObject(hThread, INFINITE);
102.  
103.     fOk = TRUE; // Everything executed successfully
104. //////////////////////////////////////////////////////////////
105.    
106.  
107.     /////////////////////////////////
108.  
109.     if (hthSnapshot != NULL)
110.       CloseHandle(hthSnapshot);
111.  
112.     if (hThread     != NULL)
113.       CloseHandle(hThread);
114.  
115.     if (hProcess    != NULL)
116.       CloseHandle(hProcess);
117.  
118.  
119.   return fOk;

Ни одного исключения.Все отлично... Блин,уже запарился..

 

Но либо сидит..Я вижу..

 

Раз либа сидит, значит что-то не верно.
Ты перечисляешь либы с помощью тулхелп - если нужная либа подгружалась не с помощью обычной LoadLibrary, а с помощью какого либо изврата, то перечисляться она, скорее всего, не будет.

 

Нет..Либа перечисляется.. Т.е. в списке модулей она есть. А догружалась она с помощью библиотеки и мелкософтовский DetourCreateProcessWithDll

 

Посмотрел исходники DetourCreateProcessWithDll.Пишет стандартно,через WriteProccessMemory
Интересно,если таким образом внедрит длл,то можно будет ее выгрузить через CreateRemoteThread?

 

А так?

Код (Text):

1. while(FreeLibrary(hDll));;;

 

Хм...Как же я в своем процессе получу левый HMODULE ?

 

это не сложно.. если не прерывать контроль над этим процессом.

 

Имелось в виду:

Код (Text):

1. while (1) {
2.  
3.     CreateRemoteThread();
4.  
5.     WaitXXXX
6.  
7.     if (status == SUCCESS)
8.        continue;
9.     else
10.        break;
11.  
12. }

FreeLibrary(lib) нужно делать столько же, сколько было LoadLibrary(lib).
Возможно её кто-то ещё подгружал, потому с первого раза она и не выгружается.

 

кстати да.. счетчик ссылок надо учитывать..

 

Погляди это. Там жёстко зашиты адреса апишек (XP SP2, энтузиасты пишут динамику (а мне было лень), мне статики хватает, тулза только для ознакомления и усовершенствования).

 

asmfan
Спасибо,но в асме я полный ноль.. Но увидел,что выгружаешь ты через CreateRemoteThread.
Я тоже так выгружаю. Только проблема в том,что выгружаюсь из тех приложений, в которые загрузился через
CreateRemoteThread.А если через WriteProccessMemory-тогда полный голяк.Хотя все отрабатывает по функциям..

Пробывал на глаз цикл из 20 шагов.Бестолку..... while сделать не могу,т.к. все функции возвращают ОК,и тогда петля...

 

Ага..Стоп..А у тебя есть в коде WriteProcessMemory.. Или это ты загружаешь..?
Вообще тяжело..Я на С++ пишу..

 

короче стоит сделать примерно так

Код (Text):

1. struct ThreadArgs {
2.     BOOL (WINAPI *FreeLibrary)(HMODULE);
3.     HMODULE BaseAddress;
4. };
5.  
6. DWORD CALLBACK UnloadLibraryThread( LPVOID Args )
7. {
8.     while( ((ThreadArgs*)Args)->FreeLibrary(((ThreadArgs*)Args)->BaseAddress) );
9.  
10.     return 0;
11. }
12. void EndThread(){}
13.  
14.  
15. void yourcode()
16. {
17.   ... open process etc. ...
18.  
19.   void* Thread = VirtualAllocEx( hProcess, 0, 0x1000, MEM_COMMIT, PAGE_EXECUTE_READWRITE );
20.   WriteProcessMemory( hProcess, Thread, UnloadLibraryThread, (ULONG)EndThread-(ULONG)UnloadLibraryThread, 0 );
21.  
22.   ThreadArgs Args;
23.  
24.   *(FARPROC*)&Args.FreeLibrary = GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "FreeLibrary");
25.   Args.BaseAddress = me.modBaseAddr;
26.  
27.   DWORD id;
28.   hThread = CreateRemoteThread( hProcess, 0, 0, Thread, Args, 0, &id );
29.  
30.   .. wait for thread ...
31. }

 

Great
Единственное отличие от Рихтера (я приводил выше его код), так то, что при ВЫГРУЗКЕ ты делаешь опять же WriteProcessMemory,а функция UnloadLibraryThread-у тебя CALLBACK и в ней цикл..
Ну что ж,ок..Сейчас попробую..

 

Great
при выполнении этого кода все приложения выпали в AccessViolation

 

я не проверял)) попробуй отладить

 

Да я даже немного подредактировал..Этот код не выгружает вообще ничего..