выгрузка dll из чужого процесса

сижу мучаюсь, обычным FreeLibrary тут не справиться ввиду ограничений на использование только в текущем процессе.
знаю что можно выгружать через CreateRemoteThread, но не знаю всей последовательности действий. могу надеяться на пинок в нужную сторону? )

 

Учимся пользоваться гуглом
http://www.google.ru/search?q=createremotethread+unload+dll&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a

среди первых же ссылок
http://www.codeproject.com/KB/threads/winspy.aspx

 

пасибо, помогло. надо еще пнуть немного, а то неполучаеться чтото (

вот это возвращает NULL:

Код (Text):

1. struct MODULEENTRY32
2.     dwSize          dd ?
3.     th32ModuleID    dd ?
4.     th32ProcessID   dd ?
5.     GlblcntUsage    dd ?
6.     ProccntUsage    dd ?
7.     modBaseAddr     dd ?
8.     modBaseSize     dd ?
9.     hModule         dd ?
10.     szModule        rb MAX_PATH
11.     szExePath       rb MAX_PATH
12. ends
13. uModule   MODULEENTRY32    
14. ...
15. invoke CreateRemoteThread,[uModule.th32ProcessID],0,0,[kernel32_FreeLibrary],[uModule.modBaseAddr],0,[dwRemoteThread]

в чем загвозка?

 

мля, я валянок, но уже разобрался. я напартачил с uModule.th32ProcessID. это же не тот хендл что был взят после OpenProcess...

 

SiruS
пробдема интересна
делай собственную загрузку и выгрузку(свой унлоад и лоад)
и ты уверен что это проггодитьсс?
LoadLibraryEx достаточна сильна для разных выкрутасов
Hi

 

дело в том, что это не моя дллка висит в памяти процесов. это троянец, который непалиться антивирусами. по некоторым причинам нехочу чтобы он и дальше палился чем-либо.
новая проблема: а как выгрузить дллку из винлогона? а то шото неудаеться....
есть подозрение, что надо что то делать с привелегиями, вот ток незнаю как (

 

SiruS
гори в аду, жидокодер!

 

censored, [censored]!

у кого то есть идеи еще?
з.ы. просьба не уподобляться censored'y...

 

SiruS
зря ты так на него
есть вутка COMMERCE

 

с привилегиями разобрался. вот токо при попытке выгрузки той чертовой дллки из винлогона - система падает синим экраном ( да и все ЕХЕхи выпадают чето с ошибками (
wsd, пасиба, гляну на досуге.
з.ы. лечить я его не буду - не доктор.

 

SiruS

новый бсдогенератор
наврное её ещё кто-то хочет поиметь а маньки то уже нет

 

SiruS
Вероятно, dll ставит перехваты, а обработчики держит у себя в теле. Отсюда и падение процесса после выгрузки dll.

 

l_inc
помоему так и есть. есть инфа о том, что эта дллка ставит хуки на несколько ключей реестра, чтобы скрыть себя от штатных средств в автозагрузке. а эти хуки реально поснимать? порядок действий хотя бы...
спасибо!

 

поснимать хуки реально.. поиск по форуму

 

slow
ны Вы путника предупредите заранее,что есть системы самовостановления хуков
и это может вылется в приличное время )))

 

спасибо!! вечером гляну, а сча иду трудиться (

 

ну да))

 

Может быть проблемма в том что по FreeLibrary управление возвращается невалидной памяти? Стоит попробовать FreeLibraryAndExitThread

 

поиск по форуму не дал желаемых результатов. подскажите хотя бы порядок, что за чем делать Оо

 

http://www.wasm.ru/forum/viewtopic.php?id=28482