要實現(xiàn)對一個程序的進程注入，然后對被注入的進程進行控制，首先需要查找到要注入的進程ID。如何獲取的進程ID呢？windows提供了一個API只要知道了這個進程里面的一個窗口句柄，就可以找到找到該進程ID。函數(shù)形式如下：DWORD GetWindowThreadProcessId(
  HWND hWnd,
  LPDWORD lpdwProcessId
);

那如何獲取這個窗口的句柄呢？很自然我們可以想到這么一個函數(shù)，函數(shù)形式如下：

HWND FindWindowEx(     
    HWND hwndParent,
    HWND hwndChildAfter,
    LPCTSTR lpszClass,
    LPCTSTR lpszWindow
);

hwndParent：指向一個待搜索窗口的父窗。

hwndChildAfter：子窗口的句柄。

lpszClass：窗口的類名。

lpszWindow：窗口的標(biāo)題名。

例如，本示例工程要找到一個對話框里的編輯框，并對這個編輯框進行注入。查找過程如下：

    HWND hWndChild = NULL;
    while(1)
    {
        // 查找對話框窗口，且這個對話框窗口的標(biāo)題名為“TestDlg”
        HWND hDlg = FindWindowEx(0, NULL, "#32770", "TestDlg");
        if(hDlg == NULL)
        {
            printf("沒有找到該對話框窗口!\n");
            exit(1);
        }
        else
        {
            // 查找這個對話框窗口中的edit控件
            hWndChild = FindWindowEx(hDlg, NULL, "Edit",NULL);
            if(hWndChild != NULL)
            {
                break; // 找到這個編輯框，現(xiàn)在要對這個編輯框進行注入
            }
        }
    }

    // 根據(jù)查找出的窗口，查詢進程
    DWORD dwQQGameId;
    HANDLE hProcessQQGame;
    if(!GetWindowThreadProcessId(hWndChild,&dwQQGameId))
    {
        printf("Error in GetWindowThreadProcessId():%d\n",GetLastError());
        exit(1);
    }
找到這個進程后，然后就要對這個進程進行注入。但是，你別忘記了，當(dāng)你在其他進程中獲取另外進程的窗口句柄，你是沒有辦法操作這個句柄的。為什么呢？每個進程都被賦予它自己的虛擬地址空間。對于3 2位進程來說，這個地址空間是4 G B，因
為3 2位指針可以擁有從0 x 0 0 0 0 0 0 0 0至0 x F F F F F F F F之間的任何一個值。這使得一個指針能夠擁有4 294 967 296個值中的一個值，它覆蓋了一個進程的4 G B虛擬空間的范圍。對于6 4位進程來說，這個地址空間是1 6 E B（1 01 8字節(jié)），因為6 4位指針可以擁有從0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0至0 x F F F F F F F F F F F F F F F F之間的任何值。這使得一個指針可以擁有18 446 744 073 709 551 616個值中的一個值，它覆蓋了一個進程的1 6 E B虛擬空間的范圍。這是相當(dāng)大的一個范圍。由于每個進程可以接收它自己的私有的地址空間，因此當(dāng)進程中的一個線程正在運行時，該線程可以訪問只屬于它的進程的內(nèi)存。屬于所有其他進程的內(nèi)存則隱藏著，并且不能被正在運行的線程訪問。注意在Windows 2000中，屬于操作系統(tǒng)本身的內(nèi)存也是隱藏的，正在運行的線程無法訪問。這意味著線程常常不能訪問操作系統(tǒng)的數(shù)據(jù)。Windows 98中，屬于操作系統(tǒng)的內(nèi)存是不隱藏的，正在運行的線程可以訪問。因此，正在運行的線程常常可以訪問操作系統(tǒng)的數(shù)據(jù)，也可以破壞操作系統(tǒng)（從而有可能導(dǎo)致操作系統(tǒng)崩潰）。在Windows 98中，一個進程的線程不可能訪問屬于另一個進程的內(nèi)存。前面說過，每個進程有它自己的私有地址空間。進程A可能有一個存放在它的地址空間中的數(shù)據(jù)結(jié)構(gòu)，地址是0 x 1 2 3 4 5 6 7 8，而進程B則有一個完全不同的數(shù)據(jù)結(jié)構(gòu)存放在它的地址空間中，地址是0 x 1 2 3 4 5 6 7 8。當(dāng)進程A中運行的線程訪問地址為0 x 1 2 3 4 5 6 7 8的內(nèi)存時，這些線程訪問的是進程A的數(shù)據(jù)結(jié)構(gòu)。當(dāng)進程B中運行的線程訪問地址為0 x 1 2 3 4 5 6 7 8的內(nèi)存時，這些線程訪問的是進程B的數(shù)據(jù)結(jié)構(gòu)。進程A中運行的線程不能訪問進程B的地址空間中的數(shù)據(jù)結(jié)構(gòu)，反之亦然。

這樣看來，若想對這個窗口句柄進行操作，得想方設(shè)法使我們能夠進入到原宿主進程中，然后執(zhí)行我們的操作。這個就好象一個寄生蟲想要破壞人體的機能，必須得進入我們的體內(nèi)，寄生在我們的組織上才能夠產(chǎn)生作用。現(xiàn)在關(guān)鍵是如何寄生到宿主中呢？

通常，任何進程都可以通過LoadLibrary動態(tài)地加載DLL，但是我們?nèi)绾螐娭埔粋€外部進程調(diào)用該函數(shù)呢？答案是CreateRemoteThread。
讓我們先來看看LoadLibrary和FreeLibrary的函數(shù)聲明：

HINSTANCE LoadLibrary(
  LPCTSTR lpLibFileName   // address of filename of library module
);

BOOL FreeLibrary(
  HMODULE hLibModule      // handle to loaded library module
);

再和CreateRemoteThread的線程過程（thread procedure）ThreadProc比較一下：
DWORD WINAPI ThreadProc(
  LPVOID lpParameter   // thread data
);

    你會發(fā)現(xiàn)所有的函數(shù)都有同樣的調(diào)用約定（calling convention）、都接受一個32位的參數(shù)并且返回值類型的大小也一樣。也就是說，我們可以把LoadLibrary/FreeLibrary的指針作為參數(shù)傳遞給CrateRemoteThread。

    然而，還有兩個問題（參考下面對CreateRemoteThread的說明）

    1． 傳遞給ThreadProc的lpStartAddress 參數(shù)必須為遠(yuǎn)程進程中的線程過程的起始地址。
    2． 如果把ThreadProc的lpParameter參數(shù)當(dāng)做一個普通的32位整數(shù)（FreeLibrary把它當(dāng)做HMODULE）那么沒有如何問題，但是如果把它當(dāng)做一個指針（LoadLibrary把它當(dāng)做一個char*），它就必須指向遠(yuǎn)程進程中的內(nèi)存數(shù)據(jù)。

    第一個問題其實已經(jīng)迎刃而解了，因為LoadLibrary和FreeLibrary都是存在于kernel32.dll中的函數(shù)，而kernel32可以保證任何“正常”進程中都存在，且其加載地址都是一樣的。（參看附錄A）于是LoadLibrary/FreeLibrary在任何進程中的地址都是一樣的，這就保證了傳遞給遠(yuǎn)程進程的指針是個有效的指針。

    第二個問題也很簡單：把DLL的文件名（LodLibrary的參數(shù)）用WriteProcessMemory復(fù)制到遠(yuǎn)程進程。

    所以，使用CreateRemoteThread和LoadLibrary技術(shù)的步驟如下：
    1． 得到遠(yuǎn)程進程的HANDLE（使用OpenProcess）。
    2． 在遠(yuǎn)程進程中為DLL文件名分配內(nèi)存（VirtualAllocEx）。
    3． 把DLL的文件名（全路徑）寫到分配的內(nèi)存中（WriteProcessMemory）
    4． 使用CreateRemoteThread和LoadLibrary把你的DLL映射近遠(yuǎn)程進程。
    5． 等待遠(yuǎn)程線程結(jié)束（WaitForSingleObject），即等待LoadLibrary返回。也就是說當(dāng)我們的DllMain（是以DLL_PROCESS_ATTACH為參數(shù)調(diào)用的）返回時遠(yuǎn)程線程也就立即結(jié)束了。
    6． 取回遠(yuǎn)程線程的結(jié)束碼（GetExitCodeThtread），即LoadLibrary的返回值――我們DLL加載后的基地址（HMODULE）。
    7． 釋放第2步分配的內(nèi)存（VirtualFreeEx）。
    8． 用CreateRemoteThread和FreeLibrary把DLL從遠(yuǎn)程進程中卸載。調(diào)用時傳遞第6步取得的HMODULE給FreeLibrary（通過CreateRemoteThread的lpParameter參數(shù)）。
    9． 等待線程的結(jié)束（WaitSingleObject）。

主要代碼如下：

#include<stdio.h>
#include<conio.h>
#include<windows.h>

void main()
{
    HWND hWndChild = NULL;
    while(1)
    {
        // 查找對話框窗口，且這個對話框窗口的標(biāo)題名為“TestDlg”
        HWND hDlg = FindWindowEx(0, NULL, "#32770", "TestDlg");
        if(hDlg == NULL)
        {
            printf("沒有找到該對話框窗口!\n");
            exit(1);
        }
        else
        {
            // 查找這個對話框窗口中的edit控件
            hWndChild = FindWindowEx(hDlg, NULL, "Edit",NULL);
            if(hWndChild != NULL)
            {
                break; // 找到這個編輯框，現(xiàn)在要對這個編輯框進行注入
            }
        }
    }

    // 根據(jù)查找出的窗口，查詢進程
    DWORD dwQQGameId;
    HANDLE hProcessQQGame;
    if(!GetWindowThreadProcessId(hWndChild,&dwQQGameId))
    {
        printf("Error in GetWindowThreadProcessId():%d\n",GetLastError());
        exit(1);
    }

    HINSTANCE hDll = NULL;
    typedef void(*LP_SET_HEDIT_FUN)(HWND);
    LP_SET_HEDIT_FUN m_SethEdit = NULL;
    char DllPath[MAX_PATH] = "D:\\進程注入測試工程\\Bin\\automessagedll.dll";
    hDll = LoadLibrary(DllPath);
    if(hDll)
    {
        m_SethEdit = (LP_SET_HEDIT_FUN)GetProcAddress(hDll,"SethEdit");
    }
    if(m_SethEdit)
    {
        m_SethEdit(hWndChild);
    }
    else
    {
        printf("Can not load SethEdit in the dll(%d).\n",GetLastError());
    }

    if( (hProcessQQGame = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwQQGameId)) == NULL)
    {
        printf("Error in OpenProcess():%d\n",GetLastError());
        getch();
        exit(1);
    }

    int cb = (1+lstrlen(DllPath))* sizeof(char);

    char* RemoteLibFile = (char*)VirtualAllocEx(hProcessQQGame,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
    if(RemoteLibFile == NULL)
    {
        printf("Error in VirtualAllocEx():%d\n",GetLastError());
        getch();
        exit(1);
    }
    if( (WriteProcessMemory(hProcessQQGame,RemoteLibFile,(LPVOID)DllPath,cb,NULL)) == 0)
    {
        printf("Error in WriteProcessMemory():%d\n",GetLastError());
        getch();
        exit(1);
    }

    PTHREAD_START_ROUTINE pfnStartAddr;
    pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");

    HANDLE hThread = CreateRemoteThread(hProcessQQGame,NULL,0,pfnStartAddr,RemoteLibFile,0,NULL);
    if(hThread == NULL)
    {
        printf("Error in CreateRemoteThread():%d",GetLastError());
        getch();
        exit(1);
    }

    WaitForSingleObject(hThread,INFINITE);

    CloseHandle(hThread);
    VirtualFreeEx(hProcessQQGame,RemoteLibFile,0,MEM_RELEASE);
    CloseHandle(hProcessQQGame);
}

本文來自CSDN博客，轉(zhuǎn)載請標(biāo)明出處：http://blog.csdn.net/kissyfish/archive/2008/12/07/3462055.aspx