DLL注入技术之依赖可信进程注入
依赖可信进程注入原理是利用Windows 系统中Services.exe这个权限较高的进程,首先将a.dll远线程注入到Services.exe中,再利用a.dll将b.dll远线程注入到待注入进程中。具体过程如下图所示:
这里提供一个小技巧,当注入到Services.exe里的DLL时,想在做完事情后悄无声息的将自己释放掉,在Windows 中有这样的一个API函数FreeLibraryAndExitThread(),它可以把自己卸载掉并且退出线程,具体代码如下:
- DWORD ThreadProc(CMfcServicesInjectDLLApp* pThis)
- {
- //切换mfc模块
- AFX_MANAGE_STATE(AfxGetStaticModuleState());
- pThis->m_InjectObj.Attach(
- _T("calc.exe"),
- _T("D:\MyDll\RelyServicesInject\Debug\MfcExeInjectDLL.dll"));
- //在线程中卸载掉自己并且退出线程
- FreeLibraryAndExitThread(pThis->m_hInstance,0);
- return 0;
- }
- // CMfcServicesInjectDLLApp 初始化
- BOOL CMfcServicesInjectDLLApp::InitInstance()
- {
- DWORD dwThreadId;
- m_hThread = ::CreateThread(NULL, NULL,
- (LPTHREAD_START_ROUTINE)ThreadProc,
- this, NULL,&dwThreadId);
- return TRUE;
- }
依赖可信进程注入其实就是远线程注入的增强版,它利用了系统较高权限的进程进行远程注入,大大提高了注入的成功率,并在注入完毕后释放掉自己,降低了被查杀的可能性。