DLL注入程序的一般步驟:
(1)取得宿主進程(即要注入木馬的進程)的進程ID dwRemoteProcessId;
(2)取得DLL的完全路徑,并將其轉換為寬字符模式pszLibFileName;
(3)利用Windows API OpenProcess打開宿主進程,應該開啟下列選項:
a.PROCESS_CREATE_THREAD:允許在宿主進程中創建線程;b.PROCESS_VM_OPERATION:允許對宿主進程中進行VM操作;
c.PROCESS_VM_WRITE:允許對宿主進程進行VM寫。
(4)利用Windows API VirtualAllocEx函數在遠程線程的VM中分配DLL完整路徑寬字符所需的存儲空間,并利用Windows API WriteProcessMemory函數將完整路徑寫入該存儲空間;(5)利用Windows API GetProcAddress取得Kernel32模塊中LoadLibraryW函數的地址,這個函數將作為隨后將啟動的遠程線程的入口函數;
(6)利用Windows API CreateRemoteThread啟動遠程線程,將LoadLibraryW的地址作為遠程線程的入口函數地址,將宿主進程里被分配空間中存儲的完整DLL路徑作為線程入口函數的參數以另其啟動指定的DLL;(7)清理現場。
posted on 2009-03-13 19:56
幽幽 閱讀(450)
評論(0) 編輯 收藏 引用 所屬分類:
Windows