VC++实现DLL注入

所谓DLL注入就是将一个DLL放进某个进程的地址空间里，让它成为那个进程的一部分。要实现DLL注入，首先需要打开目标进程。

　　hRemoteProcess = OpenProcess(　PROCESS_CREATE_THREAD | //允许远程创建线程

　　PROCESS_VM_OPERATION　| //允许远程VM操作

　　PROCESS_VM_WRITE,　//允许远程VM写

　　FALSE, dwRemoteProcessId )

　　由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。

　　如果进程打不开，以后的操作就别想了。进程打开后，就可以建立远线程了，不过别急，先想想这个远线程的线程函数是什么？我们的目的是注入一个DLL。而且我们知道用LoadLibrary可以加载一个DLL到本进程的地址空间。于是，自然会想到如果可以在目标进程中调用LoadLibrary，不就可以把DLL加载到目标进程的地址空间了吗？对！就是这样。远线程就在这儿用了一次，建立的远线程的线程函数就是LoadLibrary，而参数就是要注入的DLL的文件名。(这里需要自己想一想，注意到了吗，线程函数ThreadProc和LoadLibrary函数非常相似，返回值，参数个数都一样) 还有一个问题，LoadLibrary这个函数的地址在哪儿？也许你会说，这个简单，GetProcAddress就可以得出。于是代码就出来了。

　　char *pszLibFileRemote="my.dll";

　　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");

　　CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);

　　但是不对！不要忘了，这是远线程，不是在你的进程里，而pszLibFileRemote指向的是你的进程里的数据，到了目标进程，这个指针都不知道指向哪儿去了，同样pfnStartAddr这个地址上的代码到了目标进程里也不知道是什么了，不知道是不是你想要的LoadLibraryA了。但是，问题总是可以解决的，Windows有些很强大的API函数，他们可以在目标进程里分配内存，可以将你的进程中的数据拷贝到目标进程中。因此pszLibFileRemote的问题可以解决了。

　　char *pszLibFileName="my.dll";//注意，这个一定要是全路径文件名，除非它在系统目录里；原因大家自己想想。

　　//计算DLL路径名需要的内存空间

　　int cb = (1 + lstrlenA(pszLibFileName)) * sizeof(char);

　　//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区

　　pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);

　　//使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间

　　iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);

　　OK，现在目标进程也认识pszLibFileRemote了，但是pfnStartAddr好像不好办，我怎么可能知道LoadLibraryA在目标进程中的地址呢？其实Windows为我们解决了这个问题，LoadLibraryA这个函数是在Kernel32.dll这个核心DLL里的，而这个DLL很特殊，不管对于哪个进程，Windows总是把它加载到相同的地址上去。因此你的进程中LoadLibraryA的地址和目标进程中LoadLibraryA的地址是相同的(其实，这个DLL里的所有函数都是如此)。至此，DLL注入结束了。

/*  
远程注入explorer.exe，不停Beep,注入完就退出。  
*/   
#include <windows.h>     
#include <stdio.h>     
#include <tlhelp32.h>    
#include <Shlwapi.h>    
#include <tchar.h>    
#pragma comment(lib,"Shlwapi.lib")    
#pragma comment(linker, "/BASE:0x14000000")    
   
//#define NoWindow    
   
#ifdef NoWindow    
#pragma comment(linker,"/subsystem:windows /FILEALIGN:0x200 /ENTRY:main")    
#pragma comment(linker,"/INCREMENTAL:NO /IGNORE:4078")    
#pragma comment(linker,"/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text /MERGE:.text=Anskya /SECTION:Anskya,EWR")     
#endif    
   
typedef int (__stdcall *fnMessageBoxA)(HWND, LPCSTR, LPCSTR, UINT);   
typedef int (__stdcall *fnBeep)(int,int);   
   
#define ProcessName "services.exe"//"rundll32.exe"//"svchost.exe"//"explorer.exe"//"avp.exe"//"lsass.exe"//    
   
//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■    
//根据进程名，获得进程ID    
DWORD GetProcessID(char *FileName)   
{   
    HANDLE hProcess;   
    PROCESSENTRY32 pe;   
    BOOL bRet;   
    //进行进程快照    
    hProcess=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);   
    //开始进程查找    
    bRet=::Process32First(hProcess,&pe);   
    //循环比较，得出ProcessID    
    while(bRet)   
    {   
        if(strcmp(FileName,pe.szExeFile)==0)   
            return pe.th32ProcessID;   
        else   
            bRet=::Process32Next(hProcess,&pe);   
    }   
    //返回得到的ProcessID    
//  printf("Process not found!\n");    
    return 9999;   
}   
//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■    
//远程注入函数    
void __stdcall RmoteThread()   
{   
     HMODULE hMod,hMod2;   
     fnMessageBoxA myMessageBoxA;   
     fnBeep myBeep;   
     char* path[MAX_PATH];   
   
     hMod = GetModuleHandle("user32.dll");   
     hMod2 = GetModuleHandle("kernel32.dll");   
     myMessageBoxA = (fnMessageBoxA)GetProcAddress(hMod, (LPCSTR)"MessageBoxA");   
     myBeep = (fnBeep)GetProcAddress(hMod2, (LPCSTR)"Beep");   
/*for(int i=0;i<30;i++)  
{  
    myBeep(800,400);  
}  
*/   
//   while(1)    
     for(int i=0;i<6;i++)   
     {   
         Beep(600,100);   
         Sleep(200);   
     }   
     GetModuleFileName(NULL,(char*)path,MAX_PATH);   
//   myMessageBoxA(NULL, (char*)path, NULL, 64);    
}   
   
//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■    
// 提升应用级调试权限    
BOOL EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable)   
{   
    TOKEN_PRIVILEGES tp;   
    tp.PrivilegeCount = 1;   
    LookupPrivilegeValue(NULL,szPrivName,&tp.Privileges[0].Luid);   
    tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED:0;   
    AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);   
    return((GetLastError() == ERROR_SUCCESS));   
}   
//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■    
///说明: 插入代码,远程线程为RmoteThread()    
///参数: Pid = 进程PID    
///返回: 成功True,否则False    
   
bool InjectExe(DWORD Pid)   
{   
     bool       status = false;   
     LPVOID     pBaseAddr = NULL;   
     HMODULE    hMod = GetModuleHandle(NULL);   
     LONG       hNHOffset = PIMAGE_DOS_HEADER(hMod)->e_lfanew;   
     HANDLE     hThread,   
                hProcess,   
                hToken;   
     DWORD      cbImage;   
   
     //cbImage=内存中整个PE映像体的尺寸    
     cbImage= PIMAGE_NT_HEADERS((DWORD)hMod + (DWORD)hNHOffset)->OptionalHeader.SizeOfImage;   
   
     //重要，否则不能注入lsass    
     OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);   
     EnablePrivilege(hToken,SE_DEBUG_NAME,TRUE);   
   
     hProcess  = OpenProcess(PROCESS_ALL_ACCESS, TRUE, Pid);   
     if (hProcess == NULL)   
     {   
#ifdef debug    
         MessageBoxA(NULL, "错误OpenProcess", NULL, 64);   
#endif    
         goto Err;   
     }   
   
     //释放远程内存    
     VirtualFreeEx(hProcess, LPVOID(hMod), 0, MEM_RELEASE);   
     //分配远程内存    
     pBaseAddr = VirtualAllocEx(hProcess, LPVOID(hMod), cbImage, MEM_COMMIT | MEM_RESERVE,   
                                PAGE_EXECUTE_READWRITE);   
     if (pBaseAddr == NULL)   
     {   
#ifdef debug    
         MessageBoxA(NULL, "VirtualAllocEx failed", NULL, 64);   
#endif    
         goto Err;   
     }   
   
     //写进去,将本进程的整个PE体 全写进目标进程，够狠～    
     if (!WriteProcessMemory(hProcess, pBaseAddr, LPVOID(hMod), cbImage, NULL))   
     {   
#ifdef debug    
         MessageBoxA(NULL, "WriteProcessMemory failed", NULL, 64);   
#endif    
         goto Err;   
     }   
   
     hThread = CreateRemoteThread(hProcess, NULL, NULL, \   
         (LPTHREAD_START_ROUTINE)&RmoteThread, NULL, NULL, NULL);   
     if (hThread == NULL)   
     {   
#ifdef debug    
         MessageBoxA(NULL, "CreateRemoteThread failed", NULL, 64);   
#endif    
         goto Err;   
     }   
   
//   WaitForSingleObject(hThread, INFINITE);    
     CloseHandle(hThread);   
     CloseHandle(hProcess);   
     status = TRUE;   
     return status; //自己返回就行，不要VirtualFreeEx;，否则宿主就挂了!    
Err:   
     if (pBaseAddr != NULL)   
          VirtualFreeEx(hProcess, pBaseAddr, 0, MEM_RELEASE);   
     if (hProcess != NULL)   
         CloseHandle(hProcess);   
   
     return status;   
}   
//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■    
int main()   
{   
    char aa[]="aBcDdddFFFF asfd";   
    strupr((char*)aa);   
    printf(aa);   
   
     if (!InjectExe(GetProcessID(ProcessName)))   
         Beep(1800,500);   
     return 0;   
}