创建远程线程，稍稍修改即可实现远程DLL注入

阿杰

本文写的很好，有一个小的笔误我已经更正过来了，原文出处已经找不到啦~~~~
另外提出一个问题，如果咱不Load user32.dll，咱Load一个自定义的Dll，然后让他运行自定义的Dll中的代码，可以吗？
开始满怀信心的写代码了，写好了，发现他总是崩溃，搞的我都快崩溃了，后来想想了，自定义的DLL是不能这样注入的。因为如果目标程序没有加载自定义的DLL的话，那个通过GetProcessAddress得到的地址是无效的，肯定会崩溃。
所以实现远程的DLL注入的DLL是经过精心设计的，在DllMain函数的 初始化里写要注入的代码。因为LoadLibrary这个DLL后就会执行这些代码，从而达到DLL注入的目的。

1. 创建远程线程
   
2. 
   
3. // _remotethreaddemo.cpp : Defines the entry point for the console application.
   
4. // Author:秋镇菜
   
5. 
   
6. #include "stdafx.h"
   
7. #include "windows.h"
   
8. 
   
9. 
   
10. // ========== 定义一个代码结构,本例为一个对话框============
    
11. struct MyData
    
12. {
    
13. char sz[64]; // 对话框显示内容
    
14. DWORD dwMessageBox; // 对话框的地址
    
15. };
    
16. 
    
17. // ========== 远程线程的函数 ==============================
    
18. DWORD __stdcall RMTFunc(MyData *pData)
    
19. {
    
20. typedef int(__stdcall*MMessageBox)(HWND,LPCTSTR,LPCTSTR,UINT);
    
21. MMessageBox MsgBox = (MMessageBox)pData->dwMessageBox;
    
22. MsgBox(NULL, pData->sz, NULL, MB_OK);
    
23. return 0;
    
24. }
    
25. int main(int argc, char* argv[])
    
26. {
    
27. // ===== 获得需要创建REMOTETHREAD的进程句柄 ===============================
    
28. HWND hWnd = FindWindow("notepad", NULL); // 以NOTEPAD为例 //此处加一些返回值的判断会更好一些
    
29. DWORD dwProcessId;
    
30. ::GetWindowThreadProcessId(hWnd, &dwProcessId);
    
31. HANDLE hProcess = OpenProcess(
    
32. PROCESS_ALL_ACCESS,
    
33. FALSE,
    
34. dwProcessId);
    
35. 
    
36. // ========= 代码结构 ================================================
    
37. MyData data;
    
38. ZeroMemory(&data, sizeof (MyData));
    
39. strcat(data.sz, "对话框的内容.");
    
40. HINSTANCE hUser = LoadLibrary("user32.dll");
    
41. if (! hUser)
    
42. {
    
43. printf("Can not load library.\n");
    
44. return 0;
    
45. }
    
46. data.dwMessageBox = (DWORD)GetProcAddress(hUser, "MessageBoxA");
    
47. FreeLibrary(hUser);
    
48. if (! data.dwMessageBox)
    
49. return 0;
    
50. 
    
51. // ======= 分配空间 ===================================================
    
52. void *pRemoteThread
    
53. = VirtualAllocEx(hProcess, 0,
    
54. 1024*4, MEM_COMMIT|MEM_RESERVE,
    
55. PAGE_EXECUTE_READWRITE);
    
56. if (! pRemoteThread)
    
57. return 0;
    
58. if (! WriteProcessMemory(hProcess, pRemoteThread, &RMTFunc, 1024*4, 0))
    
59. return 0;
    
60. 
    
61. MyData *pData
    
62. = (MyData*)VirtualAllocEx(hProcess, 0,
    
63. sizeof (MyData), MEM_COMMIT,
    
64. PAGE_READWRITE);
    
65. if (!pData)
    
66. return 0;
    
67. 
    
68. if (! WriteProcessMemory(hProcess, pData, &data, sizeof (MyData), 0))
    
69. return 0;
    
70. 
    
71. // =========== 创建远程线程 ===========================================
    
72. HANDLE hThread
    
73. = CreateRemoteThread(hProcess, 0,
    
74. 0, (LPTHREAD_START_ROUTINE)pRemoteThread,
    
75. pData, 0, 0);
    
76. if (! hThread)
    
77. {
    
78. printf("远程线程创建失败");
    
79. return 0;
    
80. }
    
81. CloseHandle(hThread);//这个CloseHandle是不会关掉远程线程的，TerminateThread能关掉
    
82. VirtualFreeEx(hProcess, pRemoteThread, 1024*4, MEM_RELEASE);
    
83. VirtualFreeEx(hProcess, pData, sizeof (MyData), MEM_RELEASE);
    
84. CloseHandle(hProcess);
    
85. printf("Hello World!\n");
    
86. return 0;
    
87. }
    

复制代码

崽崽123

杰哥啊 能带下么？？？