如何使用 GetExitCodeThread 或其他 Windows Api 获取 64 位 exitCode
问题描述 投票:0回答:1
我试图在将dll注入到远程进程后卸载它,我使用CreateRemoteThread在该远程进程中调用“LoadLibraryA”,这意味着线程函数是“LoadLibraryA”。现在,我使用“GetExitCodeThread”来获取线程的退出代码。
代码片段:
// create remote thread to invoke LoadLibraryA
HANDLE tThread = CreateRemoteThread(remoteProcess, NULL, 0, LoadLibraryAAddr, remoteAddress, 0, NULL);
if (!tThread) {
cout << "failed to create remote thread" << endl;
return 1;
}
// wait for remote thread stop
HMODULE exitCode;
WaitForSingleObject(tThread, INFINITE);
cout << "successfully load library" << endl;
GetExitCodeThread(tThread, (LPDWORD)&exitCode);
// clean up, call FreeLibrary to unload dll
LPTHREAD_START_ROUTINE freeLibraryAddr = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "FreeLibrary");
if (NULL == freeLibraryAddr) {
cout << "failed to get freeLibrary address" << endl;
return 1;
}
“GetExitCodeThread”声明:
BOOL GetExitCodeThread(
[in] HANDLE hThread,
[out] LPDWORD lpExitCode
);
根据文档的描述,lpExitCode应该取“LoadLibraryA”的返回值,即“LoadLibraryA”加载的dll的基地址。然后我创建另一个远程进程来调用“FreeLibrary”来卸载这个dll,但失败了。
经过调试,我发现了问题:lpExitCode只保存了“LoadLibraryA”返回的低32位值。
高32位是0xcccccccc,因为变量“exitCode”在栈中,是用0xcc初始化的。这个结果很容易解释:“lpExitCode”的类型是LPDWORD,它是一个指向32位值的指针,因此它只能影响“exitCode”的低32位
一开始的代码在x86环境下运行得很好,因为x86环境下的地址是32位长,可以正确传递。但是,我在 x64 环境中运行它,“exitCode”仅获取 dll 基地址的低 32 位,然后传递给 FreeLibrary 并导致调用失败。结果,dll仍然位于该远程进程的内存中,这与我的预期不符。
那么有没有办法使用GetExitCodeThread或其他一些windows api来获取64位retuen值,希望有人能回复。
1个回答
投票
HMODULE getTargetModuleBase(HANDLE processHandle, string targetModuleName) {
// get all moduels in the process
HMODULE moduleHandleList[1024];
DWORD cbNeeded;
BOOL ret = EnumProcessModules(processHandle, moduleHandleList, sizeof(moduleHandleList), &cbNeeded);
if (!ret) {
cout << "failed to enum process modules" << endl;
return NULL;
}
if (cbNeeded > sizeof(moduleHandleList)) {
cout << "to many modules" << endl;
return NULL;
}
DWORD processCount = cbNeeded / sizeof(HMODULE);
// traverse to find target module
char moduleName[1024];
for (DWORD i = 0; i < processCount; i++) {
GetModuleBaseNameA(processHandle, moduleHandleList[i], moduleName, 1024);
if (!strncmp(targetModuleName.c_str(), moduleName, targetModuleName.size())) {
return moduleHandleList[i];
}
}
return NULL;
}
使用EnumProcessModules和GetModuleBaseNameA遍历并比较已加载模块的名称,可以找到目标模块并返回其baseAddress,然后将baseAddress传递给freeLibrary以卸载模块。
上面的代码只是一个简单的例子,如果没有一些错误句柄,moduleHandleList和moduleHandleList在保存结果时可能会超出范围,请注意。您可以检查 EnumProcessModules 和 GetModuleBaseNameA 的返回值来决定是否使用更大的数组再次调用这些 api。
最新问题
- 有没有办法通过构造函数体将对象添加到向量?
- 编辑按钮没有任何作用。我怎样才能使它工作
- 如何使用可能不完整的类型参数调用模板函数
- 实体类中@GenerateValue的必要性
- 按item id列出用户的所有消息,无论是发送者还是接收者
- nuxt 3 中的自定义插件类型未知
- 点击外部时,react-select 不会关闭
- PHP-MQTT 发布者导致订阅者崩溃
- 如何使用色彩空间包控制色阶的限制?
- Order() 排序不正确
- IOS 17.4.1 safari 扩展问题
- BaseSettings 是否支持添加任意输入参数而无需重写构造函数?
- 设置嵌入式 DNS 的 Docker DNS 超时
- 在 docker compose up 期间在 docker 容器中运行命令
- Kivy - 底部和右侧位置小部件和边距
- 无法访问属性“__webglFramebuffer”
- 保存 Windows 登录名而不保存密码(如 Kerberos 票证)
- C opendir,readdir 错误:free():无效大小,中止(核心转储)
- 根据指定的输出文件大小使用 AWS Glue 脚本对 DynamicFrames 进行分区
- 为什么我的powershell一直显示不相关的错误?