4

我有一个 DLL,我使用SetWindowsHookEx. 在 DLL 中,我通过调用来增加模块的引用计数器,GetModuleHandleEx这样我就可以控制何时卸载模块。

此时,来自这两个 API 调用的模块引用计数“应该”为 2。当调用进程关闭时,它调用UnhookWindowsHookEx,将引用计数减为 1。DLL 有一个线程等待一些事情,其中​​之一是调用 的进程的句柄SetWindowsHookEx。当进程消失时,DLL 会进行一些清理,终止所有线程,清理内存和句柄,然后调用FreeLibraryAndExitThread. 这会递减计数器并卸载 DLL。

这是我的问题。有一些进程,尤其是那些没有 UI 的进程,DLL 永远不会被卸载。我很有信心我已经清理了所有东西。而且我知道我的所有线程都没有运行。

首先,如果您有任何故障排除技巧来帮助找出原因,那将很有帮助。否则,我正在考虑使用一些 API,例如NtQueryInformationProcess获取模块地址并确认模块句柄计数实际上为零,然后调用CreateRemoteThread以注入调用以LdrUnloadDll从进程中卸载模块地址。您对这种方法有何看法?有没有人有任何示例代码?我很难找出如何获取模块句柄计数。

4

2 回答 2

6

好的.. 来了.. 有很多方法可以从进程中获取模块信息。无证方式和“有证”方式。

结果(记录):

在此处输入图像描述

这是“记录在案”的方式..

#include <windows.h>
#include <TlHelp32.h>
#include <iostream>
#include <sstream>


int strcompare(const char* One, const char* Two, bool CaseSensitive)
{
    #if defined _WIN32 || defined _WIN64
    return CaseSensitive ? strcmp(One, Two) : _stricmp(One, Two);
    #else
    return CaseSensitive ? strcmp(One, Two) : strcasecmp(One, Two);
    #endif
}

PROCESSENTRY32 GetProcessInfo(const char* ProcessName)
{
    void* hSnap = nullptr;
    PROCESSENTRY32 Proc32 = {0};

    if ((hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)) == INVALID_HANDLE_VALUE)
        return Proc32;

    Proc32.dwSize = sizeof(PROCESSENTRY32);
    while (Process32Next(hSnap, &Proc32))
    {
        if (!strcompare(ProcessName, Proc32.szExeFile, false))
        {
            CloseHandle(hSnap);
            return Proc32;
        }
    }
    CloseHandle(hSnap);
    Proc32 = { 0 };
    return Proc32;
}

MODULEENTRY32 GetModuleInfo(std::uint32_t ProcessID, const char* ModuleName)
{
    void* hSnap = nullptr;
    MODULEENTRY32 Mod32 = {0};

    if ((hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, ProcessID)) == INVALID_HANDLE_VALUE)
        return Mod32;

    Mod32.dwSize = sizeof(MODULEENTRY32);
    while (Module32Next(hSnap, &Mod32))
    {
        if (!strcompare(ModuleName, Mod32.szModule, false))
        {
            CloseHandle(hSnap);
            return Mod32;
        }
    }

    CloseHandle(hSnap);
    Mod32 = {0};
    return Mod32;
}

std::string ModuleInfoToString(MODULEENTRY32 Mod32)
{
    auto to_hex_string = [](std::size_t val, std::ios_base &(*f)(std::ios_base&)) -> std::string
    {
        std::stringstream oss;
        oss << std::hex << std::uppercase << val;
        return oss.str();
    };

    std::string str;
    str.append("  =======================================================\r\n");
    str.append("  Module Name:             ").append(Mod32.szModule).append("\r\n");
    str.append("  =======================================================\r\n\r\n");
    str.append("  Module Path:             ").append(Mod32.szExePath).append("\r\n");
    str.append("  Process ID:              ").append(std::to_string(Mod32.th32ProcessID).c_str()).append("\r\n");
    str.append("  Load Count (Global):     ").append(std::to_string(static_cast<int>(Mod32.GlblcntUsage != 0xFFFF ? Mod32.GlblcntUsage : -1)).c_str()).append("\r\n");
    str.append("  Load Count (Process):    ").append(std::to_string(static_cast<int>(Mod32.ProccntUsage != 0xFFFF ? Mod32.ProccntUsage : -1)).c_str()).append("\r\n");
    str.append("  Base Address:            0x").append(to_hex_string(reinterpret_cast<std::size_t>(Mod32.modBaseAddr), std::hex).c_str()).append("\r\n");
    str.append("  Base Size:               0x").append(to_hex_string(Mod32.modBaseSize, std::hex).c_str()).append("\r\n\r\n");
    str.append("  =======================================================\r\n");
    return str;
}

int main()
{
    PROCESSENTRY32 ProcessInfo = GetProcessInfo("notepad.exe");
    MODULEENTRY32 ME = GetModuleInfo(ProcessInfo.th32ProcessID, "uxtheme.dll");
    std::cout<<ModuleInfoToString(ME);
}

未记录的 API 的问题是我从来没有弄清楚为什么动态模块的负载计数总是“6”而静态模块的负载计数总是“-1”。出于这个原因,我不会发布它。

如果您只想要负载计数,最好不要使用未记录的 API。未记录的 API 的唯一优点是您可以使用它来“取消链接/隐藏”进程中的模块(就像病毒一样)。它将“取消链接/隐藏”它..而不是“卸载”它。这意味着您可以随时将其“重新链接”回进程的模块列表。

由于您只需要模块引用计数,因此我只包含了“记录”的 API,它正是这样做的。

于 2014-08-30T01:41:59.573 回答
3

我找到了问题的原因和解决方案。老实说,我为错过它并为此挣扎了这么久而感到很愚蠢。

正如我在原始问题中提到的,有问题的进程没有 UI。事实证明他们确实有一个消息泵正在运行。问题是在我们调用之后没有 UI 的情况下向这些进程发送消息UnhookWindowsHookEx会触发卸载。(事实上​​,我相信 MSDN 确实声明窗口消息在调用时不会发送到进程UnhookWindowsHookEx。)

通过在注入进程调用后向所有进程广播 WM_NULL,UnhookWindowsHookEx消息泵会在注入进程中唤醒,并且 DLL 引用计数会减少。当注入的 DLL 最终调用FreeLibraryAndExitThread.

这只是解决方案的一部分。如果注入进程被杀死或崩溃,则不会广播任何消息,因此 DLL 不会从没有 UI 的进程中卸载。正如我之前提到的,我有一个在等待注入进程句柄的 DLL 中运行的线程。当注入进程结束时,DLL 会收到信号,然后调用PostThreadMessage以将 WM_NULL 发送到进程中的每个线程。然后它会一直等到 DLL 引用计数减少,然后再继续并在调用FreeLibraryAndExitThread. 因此,DLL 几乎立即从所有进程(UI 或无 UI)中卸载。

于 2014-09-01T01:12:52.783 回答