首页 > Windows SDK > 远线程DLL注入技术

远线程DLL注入技术

远线程DLL注入主要通过使用API CreateRemoteThread创建远程线程来实现,CreateRemoteThread与创建线程用的CreateThread非常相似,除了第一个参数hProcess之外,其他参数都是一样的。hProcess用于指定要在哪个进程中创建远程线程,也就是需要将DLL注入的那个进程。

为了通过将远程线程与DLL加载关联起来,我们可以把LoadLibraryW作为线程函数,把DLL的路径作为线程的参数。对于DLL的路径,因为用户态进程空间是互相独立的,所以我们需要通过VirtualAllocEx在目标进程中分配一块足够大小的内存空间,用于存放DLL的路径字符串,可以通过WriteProcessMemory这个API来实现跨进程写数据。那么又如何获取目标进程空间中LoadLibraryW的地址呢?对于kernel32.dll这样的DLL,操作系统会保证他们在任何进程中加载的基地址都是一样的,这样以来,kernel32.dll中的导出函数的地址也会是固定的,所以我们可以直接通过GetModuleHandle和GetProcAddress这两个API来获取LoadLibraryW的地址。

由于创建远程线程需要进行跨进程内存空间分配、跨进程内存数据读写等操作,所以是需要一定的权限的。我们必须将发起进程提升到一定的权限,否则操作会失败。通常将进程提升到DEBUG权限即可。

示例代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
// Author: 代码疯子
// Blog: http://www.programlife.net/
// 实际使用时请合理校验中间步骤的操作结果是否成功
BOOL DllInject(DWORD dwPid, TCHAR szDllPath[])
{
	BOOL bRet = FALSE;
	HANDLE hRemoteProcess = OpenProcess(
		PROCESS_CREATE_THREAD | PROCESS_VM_WRITE | PROCESS_VM_WRITE |
		PROCESS_VM_OPERATION | PROCESS_QUERY_INFORMATION,
		FALSE,
		dwPid);
 
	HMODULE hKrl32 = GetModuleHandle(TEXT("kernel32.dll"));
	RemoteThreadProc remoteThreadProc = (RemoteThreadProc)GetProcAddress(hKrl32, "LoadLibraryW");
 
	DWORD cbSize = (lstrlen(szDllPath) + 1) * sizeof(szDllPath[0]);
	TCHAR *pszRemoteParam = (TCHAR *)VirtualAllocEx(hRemoteProcess,
		0, cbSize,
		MEM_COMMIT, PAGE_READWRITE);
 
	BOOL bWriteMem = WriteProcessMemory(hRemoteProcess,
		(PVOID)pszRemoteParam,
		(PVOID)szDllPath,
		cbSize,
		NULL);
 
	HANDLE hThread = CreateRemoteThread(hRemoteProcess,
		NULL,
		0,
		remoteThreadProc,
		(LPVOID)pszRemoteParam,
		0,
		NULL);
 
	WaitForSingleObject(hThread, INFINITE);
	// 判断注入是否成功
	DWORD dwExitCode = 0;
	bRet = GetExitCodeThread(hThread, &dwExitCode);
	if (NULL == dwExitCode)
	{
		bRet = FALSE;
	}
 
	CloseHandle(hThread);
	VirtualFreeEx(hRemoteProcess, (LPVOID)pszRemoteParam, cbSize, MEM_RELEASE);
	CloseHandle(hRemoteProcess);
	return bRet;
}

DLL远线程注入技术

如何卸载远程DLL呢?同样可以使用这个方法来调用GetModuleHandle和FreeLibrary。

————- Update: 2014-06-06 ————-
1. 一定要注意OpenProcess的权限,少些一两个可能也可以,不过有些情况下可能就不行了,MSDN明确说明的都写上(不然CreateRemoteThread拒绝访问搞死了):
A handle to the process in which the thread is to be created. The handle must have the PROCESS_CREATE_THREAD, PROCESS_QUERY_INFORMATION, PROCESS_VM_OPERATION, PROCESS_VM_WRITE, and PROCESS_VM_READ access rights, and may fail without these rights on certain platforms. For more information, see Process Security and Access Rights.

2. 关于32位与64位的问题
32位的注入器只能往32位的进程注入32位的DLL程序;
64位的注入器只能往64位的进程注入64位的DLL程序;
在64位系统下,32位进程运行在WOW64下面,是可以使用32位的注入器往其中注入32位的DLL的。

3. DLL注入执行完代码之后,可以通过调用FreeLibraryAndExitThread来实现自动卸载,具体参考让DLL卸载自身一文;


觉得文章还不错?点击此处对作者进行打赏!


本文地址: 程序人生 >> 远线程DLL注入技术
作者:代码疯子(Wins0n) 本站内容如无声明均属原创,转载请保留作者信息与原文链接,谢谢!


更多



分类: Windows SDK 标签: , ,
  1. 本文目前尚无任何评论.