最简单的 远程线程实现自定义Dll注入

阿杰

1. 
   
2. 首先做一个Dll，名字叫DllInsert.dll，我们在DllMain中的DLL_PROCESS_ATTACH分支写一个::MessageBox(NULL, "You are Load dll now!", "Load", NULL); 在DLL_PROCESS_DETACH中写一个::MessageBox(NULL, "You are Free dll now!", "Free", NULL); ok Dll写完了，把这个Dll放到System32目录中
   
3. 下面来注入他到Explorer.exe进程，注意：Debug版本会崩溃，Release版本没问题的，原因不白
   
4. #include "Tlhelp32.h."
   
5. #include "Psapi.h."
   
6. //提升权限
   
7. BOOL ImproveProcPriv()
   
8. {
   
9. HANDLE token;
   
10. //提升权限
    
11. if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&token))
    
12. {
    
13.    // MessageBox(NULL,"打开进程令牌失败...","错误",MB_ICONSTOP);
    
14.    return FALSE;
    
15. }
    
16. TOKEN_PRIVILEGES tkp;
    
17. tkp.PrivilegeCount = 1;
    
18. ::LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid);
    
19. tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    
20. if(!AdjustTokenPrivileges(token,FALSE,&tkp,sizeof(tkp),NULL,NULL))
    
21. {
    
22.    // MessageBox(NULL,"调整令牌权限失败...","错误",MB_ICONSTOP);
    
23.    return FALSE;
    
24. }
    
25. CloseHandle(token);
    
26. return TRUE;
    
27. }
    
28. //这个函数名字取反了，- -！ 尴尬
    
29. DWORD GetProcNameByPID(char *strName)
    
30. {
    
31.     HANDLE          hprocessSnap = NULL;
    
32.     PROCESSENTRY32 pe32;
    
33. memset(&pe32, 0, sizeof(PROCESSENTRY32));
    
34.     hprocessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);//创建进程快照
    
35. // 如果创建快照失败就返回1;
    
36.     if (hprocessSnap == INVALID_HANDLE_VALUE)
    
37. {
    
38.    printf("\nCreateToolhelp32Snapshot()failed:%d",GetLastError());
    
39.    return 0;
    
40.     }
    
41.     pe32.dwSize = sizeof(PROCESSENTRY32);   //初始化pe32的dwsize值
    
42. //遍历快照
    
43.     if (Process32First(hprocessSnap,&pe32))
    
44. {   
    
45.    do
    
46.    {   
    
47.     //如果name(要查找的进程的名字)等于pe32.szExeFile(本进程的名字),就返pe32.the32ProcessID          (进程ID)
    
48.     if (!stricmp(strName, pe32.szExeFile))
    
49.     {
    
50.      return (DWORD)pe32.th32ProcessID;
    
51.     }
    
52.    }while (Process32Next(hprocessSnap,&pe32));
    
53.     }
    
54. //如果没找到就返回0
    
55.     CloseHandle (hprocessSnap);
    
56.     return 0;
    
57. }
    
58. // ========== 定义一个代码结构,本例为一个对话框============
    
59. //类似的可以调用Dll里面是函数，只是要把函数名字作为参数传进来
    
60. struct MyData
    
61. {
    
62. char sz[64]; // 对话框显示内容
    
63. DWORD dwLoadLibrary; // LoadLibrary的地址
    
64. DWORD dwFreeLibrary;
    
65. };
    
66. 
    
67. // ========== 远程线程的函数 ==============================
    
68. DWORD __stdcall RMTFunc(MyData *pData)
    
69. {
    
70. typedef HMODULE(__stdcall *MLoadLibrary)(LPCTSTR);
    
71. typedef void (__stdcall *MFreeLibrary)(HMODULE);
    
72. MLoadLibrary Mloaddll = (MLoadLibrary )(pData->dwLoadLibrary);
    
73. MFreeLibrary Mfreedll = (MFreeLibrary )(pData->dwFreeLibrary);
    
74.    HMODULE hDll = Mloaddll(pData->sz);
    
75. Mfreedll(hDll);
    
76. return 0;
    
77. }
    
78. void CInsertExplorerDlg::OnOK()
    
79. {
    
80. ImproveProcPriv();
    
81. DWORD dwIDExplorer = GetProcNameByPID("Explorer.exe");
    
82. if (dwIDExplorer == 0)
    
83. {
    
84.    ::MessageBox(m_hWnd, "Get Pro ID Error!", NULL, NULL);
    
85. }
    
86. HANDLE hProcess = OpenProcess(
    
87.    PROCESS_ALL_ACCESS,
    
88.    FALSE,
    
89.    dwIDExplorer);
    
90. if (hProcess == NULL)
    
91. {
    
92.    ::MessageBox(m_hWnd, "Open Process Error!", NULL, NULL);
    
93.    return ;
    
94. }
    
95. // ========= 代码结构 ================================================
    
96. MyData data;
    
97. ZeroMemory(&data, sizeof (MyData));
    
98. strcpy(data.sz, "DllInsert.dll");
    
99. HINSTANCE hUser = LoadLibrary("kernel32.dll");
    
100. if (! hUser)
     
101. {
     
102.    printf("Can not load library.\n");
     
103.    return ;
     
104. }
     
105. data.dwLoadLibrary = (DWORD)GetProcAddress(hUser, "LoadLibraryA");
     
106. data.dwFreeLibrary = (DWORD)GetProcAddress(hUser, "FreeLibrary");
     
107. FreeLibrary(hUser);
     
108. if (! data.dwLoadLibrary)
     
109.    return ;
     
110. 
     
111. // ======= 分配空间 ===================================================
     
112. void *pRemoteThread
     
113.    = VirtualAllocEx(hProcess, 0,
     
114.    1024*4, MEM_COMMIT|MEM_RESERVE,
     
115.    PAGE_EXECUTE_READWRITE);
     
116. if (! pRemoteThread)
     
117.    return ;
     
118. if (! WriteProcessMemory(hProcess, pRemoteThread, &RMTFunc, 1024*4, 0))
     
119.    return ;
     
120. MyData *pData
     
121.    = (MyData*)VirtualAllocEx(hProcess, 0,
     
122.    sizeof (MyData), MEM_COMMIT,
     
123.    PAGE_READWRITE);
     
124. if (!pData)
     
125.    return ;
     
126. 
     
127. if (! WriteProcessMemory(hProcess, pData, &data, sizeof (MyData), 0))
     
128.    return ;
     
129. 
     
130. // =========== 创建远程线程 ===========================================
     
131. HANDLE hThread
     
132.    = CreateRemoteThread(hProcess, 0,
     
133.    0, (LPTHREAD_START_ROUTINE)pRemoteThread,
     
134.    pData, 0, 0);
     
135. if (! hThread)
     
136. {
     
137.    printf("远程线程创建失败");
     
138.    return ;
     
139. }
     
140. CloseHandle(hThread);//这个CloseHandle是不会关掉远程线程的，TerminateThread能关掉
     
141. VirtualFreeEx(hProcess, pRemoteThread, 1024*4, MEM_RELEASE);
     
142. VirtualFreeEx(hProcess, pData, sizeof (MyData), MEM_RELEASE);
     
143. CloseHandle(hProcess);
     
144. return ;
     
145. }
     
146. 
     
147. 前面说的那个为什么会崩溃，查了一下原因：
     
148. 原因是Debug模式下编译器会自动在代码中插入esp的check routine.它可以使Remote Thread崩溃.   
     
149. 在DEBUG模式下常有这一句:
     
150. 0043E604 call @ILT+4380(__RTC_CheckEsp) (42E121h)
     
151. 
     
152. CreateRemoteThread中莫名其妙的崩溃常由它导致.由于没有你所有的代码,所以只是推测,没有办法详细了.
     
153. 一般来说这是由于在Debug模式下，编译会在每个函数执行后自动加入
     
154. 恢复stockheap地址等相关指令，也就是说，它会调用自动恢复stockheap地址函数。
     
155. 而这个函数在远程地址空间中是不存在的，所以执行时会出错，
     
156. 如在Release模式下，编译器就不会插入这个指令，所以执行没有问题。
     
157. 
     
158. 其实这个问题跟远程执行插入你自己的代码也是一样的，都需要在release下面才能
     
159. 执行成功。
     

复制代码