个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我使用此代码来确定是否已将特定模块注入(inject)到我的应用程序进程中(我用它来阻止某些数据包嗅探器软件)
Var
H:Cardinal;
Begin
H:= GetModuleHandle('WSock32.dll');
if H >0 then FreeLibrary(H);
end;
问题是当我调用 Freelibrary 时它什么也不做!
我不想显示消息然后终止应用程序,我只想默默地卸载注入(inject)的模块
提前致谢
最佳答案
首先,我将尝试回答所提出的问题。然后,我会试图证明你问了错误的问题。
<小时/>模块是有引用计数的。该模块可能有多个引用。所以,继续调用FreeLibrary :
procedure ForceRemove(const ModuleName: string);
var
hMod: HMODULE;
begin
hMod := GetModuleHandle(PChar(ModuleName));
if hMod=0 then
exit;
repeat
until not FreeLibrary(hMod);
end;
如果您很偏执,您可能会选择添加循环的替代终止以避免无限循环。
我真的不知道这是否适用于您的场景。例如,您的进程很可能静态链接到 WSock32 。在这种情况下,无需再调用FreeLibrary会把它踢出去。即使您可以将其踢出,您的进程静态链接到它的事实可能意味着它会很难失败。
即使您可以将其踢出,进程中的其他代码似乎也将保留对模块中函数的引用。所以你只会在其他地方失败。我能想到很少有场景可以将模块从进程中踢出,完全不考虑该模块的其他用户。
<小时/>现在,让我们退一步看看您在做什么。您试图从进程中删除标准系统 DLL,因为您认为它的存在只是因为您的进程正在嗅探其数据包。这似乎不太可能是真的。
既然您声明您的进程受到数据包嗅探攻击。这意味着该进程正在通过 TCP/IP 进行通信。这意味着它可能使用系统模块来执行该通信。其中之一是WSock32 。所以你很可能静态链接到 WSock32 。如果您终止了用于提供其功能的模块之一,您的流程将如何工作?
您确定 WSock32 的存在吗?在您的进程中表明您的进程受到攻击?如果数据包嗅探器要将 DLL 注入(inject)到您的进程中,为什么它会注入(inject) WSock32系统DLL?您是否检查过您的进程或其依赖项之一是否静态链接到 WSock32 ?
我相当怀疑你只是误判了正在发生的事情。
<小时/>其他一些要点:
GetModuleHandle返回,并且 FreeLibrary接受HMODULE 。对于与 Cardinal 兼容的 32 位,但不适用于 64 位。使用HMODULE .GetModuleHandle 的条件就是返回值为0 。文档中没有任何地方指出大于 0 的值。表示成功。我意识到Cardinal和HMODULE是无符号的,所以 <>0与 >0 相同,但测试确实没有意义 >0 。它让程序员思考,“<0 有什么特别之处?”关于德尔福: force unload injected module,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20483486/
26
4
0
我试图理解两者之间的区别 git push --force 和 git push --force-with-lease 我的猜测是后者只推送到远程如果远程提交了本地分支没有? 最佳答案 force 用
我在将项目发布到本地系统时收到此错误 Copying file obj\Debug\build.force to obj\Release\Package\PackageTmp\obj\Debug\bu
这个例子的描述:http://bl.ocks.org/mbostock/4062045 (见下图),声明它是“带电粒子和 Spring 的物理模拟,使相关 Angular 色更接近。” 我只是好奇该代
请不要标记重复的问题。 大家好, 我正在执行 NSURLAuthenticationMethodClientCertificate,我在其中使用以下代码。如果我不使用 swiftlint,哪个代码没问
我似乎无法删除文件/文件夹,而无需为所有人输入 [A]。我错过了什么? Get-Childitem "C:\Users\*\AppData\Local\Temp\*" -ErrorAction S
我一直在尝试编写在 Streams 上运行的程序和它们的属性,但我觉得即使是最简单的事情我也被困住了。当我在标准库的 Codata/Streams 中查看 repeat 的定义时,我发现了一个我在 A
我正在尝试使用 symfony2 创建一个下载文件的链接。它确实下载了一个文件,但它没有用,因为它是零八位字节。我不知道如何让它工作。有人知道怎么做吗? 文件位于web/uploads/documen
我需要为MySQLd打开网络,但是每次这样做,服务器都会被强行淘汰。一些卑鄙的密码猜测脚本开始在服务器上运行,在端口3306上打开连接并永久尝试随 secret 码。 我该如何阻止这种情况的发生? 对
Azure Functions 是否可以强制通过 HTTPS 进行连接? 我没有在应用程序设置中看到它,也没有看到任何对 Azure Functions 的 web.config 的引用。 最佳答案
我正在使用 Firebird 数据库并正在尝试以下 sql,但每次它返回 0,而不是 0.61538(等等)。 SELECT (COUNT(myfield)/26) totalcount FROM m
就目前情况而言,这个问题不太适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、民意调查或扩展讨论。如果您觉得这个问题可以改进并可能重新开放,visit
我想要一个永远未定义的属性: var foo = {bar:undefined} 如果有人稍后尝试更改属性栏,那么它也应该导致未定义。 foo.bar = 'someValue'// foo.bar/
我有课,Target无法更改,具有通用约束。我想从没有约束的泛型类中构建该类的实例。下面演示了我想要做的事情的意图,但我意识到这段代码将无法编译并且 typeof(T).IsClass是运行时检查,通
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
假设我在包中编写了一个类,名为 mypackage.myclass。我已经为包和类编写了自己的 HTML 文档,并将其包含在 MATLAB 帮助浏览器中,如 the MATLAB documentat
我们有一个多平台项目,它为几个平台生成二进制文件,比如 mac、windows、linux...是否可以强制 git 将所有文件的编码更改为某个特定平台(例如:Linux)。那么如何在每次用户提交或推
我正在使用 MSBuild 自动为标签创建一个文本文件和一个 ZIP 文件。我的 MSBuild 项目由 CruiseControl.NET 调用. 文本文件总是latest.txt,ZIP 文件是(
根据我的一些 API 规范: Force to place an Auth transaction into the current batch (PostAuth) or to place a tr
我正在使用超集 0.20.4 如果我想在我的 URL 中添加一个 token 以自动登录到特定用户超集/仪表板/3?standalone=true&token=123456789 我应该在代码的哪个位
我有一个大问题:我有一个 listview,每个项目都链接到页面 #concorsi。当我单击链接时,URL 会变为 #concorsi?numero=1,因为我正在从 JSON 中获取表单编号 1。
我是一名优秀的程序员,十分优秀!