Windows Ring3层注入——CreateProcess劫持进程创建注入（三）

CreateProcess劫持进程创建注入原理

劫持进程创建注入：利用Windows系统中CreateProcess()这个API创建一个进程，并将第6个参数设为CREATE_SUSPENDED，进而创建一个挂起状态的进程，利用这个进程状态进行远程线程注入DLL，然后用ResumeThread() 函数恢复进程。

劫持进程创建注入好处

这种方法允许我们改变进程的状态并且不影响它的执行，并且可以的到主线程的句柄，通过句柄，从而对线程执行的代码进行修改。

CreateProcess劫持进程创建注入函数原型

CreateProcess函数原型

BOOL CreateProcess( 
		  LPCWSTR pszImageName,    //指向一个NULL结尾的、用来指定可执行模块的字符串。目标进程地址名
		  LPCWSTR pszCmdLine,      //指向一个以NULL结尾的字符串，该字符串指定要执行的命令行。
		  LPSECURITY_ATTRIBUTES psaProcess,  //指向一个SECURITY_ATTRIBUTES结构体，这个结构体决定是否返回的句柄可以被子进程继承。如果lpProcessAttributes参数为空（NULL），那么句柄不能被继承。
		  LPSECURITY_ATTRIBUTES psaThread, //同lpProcessAttribute,不过这个参数决定的是线程是否被继承.通常置为NULL.
		  BOOL fInheritHandles, //指示新进程是否从调用进程处继承了句柄。
		  DWORD fdwCreate,      //指定附加的、用来控制优先类和进程的创建的标志。
		  LPVOID pvEnvironment, //指向一个新进程的环境块。如果此参数为空，新进程使用调用进程的环境。
		  LPWSTR pszCurDir,     //指向一个以NULL结尾的字符串，这个字符串用来指定子进程的工作路径。
		  LPSTARTUPINFOW psiStartInfo, //指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。
		  LPPROCESS_INFORMATION pProcInfo //指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。
); 

函数原型解释可以直接参照：https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread

CreateProcess劫持进程创建注入步骤

• 1.让进程生成一个被挂起的子进程
• 2.从exe模块的文件头中取得主线程的起始内存地址
• 3.将位于该内存地址处的机器指令保存起来
• 4.强制将一些手工编写的机器指令写入到该内存地址处，指令调用LoadLibrary载入DLL
• 5.让子进程的主线程恢复运行，从而让指令执行
• 6.注入DLL成功后，把保存起来的原始指令恢复到起始地址处
• 7.进程从起始地址继续执行
  
  动图解释：
  

CreateProcess劫持进程代码示例

///CreateProcessInject.h

//以Suspend打开目标进程
BOOL OpenTa