要實現對一個程序的進程注入,然后對被注入的進程進行控制,首先需要查找到要注入的進程ID。如何獲取的進程ID呢?windows提供了一個API只要知道了這個進程里面的一個窗口句柄,就可以找到找到該進程ID。函數形式如下:DWORD GetWindowThreadProcessId(
HWND hWnd,
LPDWORD lpdwProcessId
);
那如何獲取這個窗口的句柄呢?很自然我們可以想到這么一個函數,函數形式如下:
HWND FindWindowEx(
HWND hwndParent,
HWND hwndChildAfter,
LPCTSTR lpszClass,
LPCTSTR lpszWindow
);
hwndParent:指向一個待搜索窗口的父窗。
hwndChildAfter:子窗口的句柄。
lpszClass:窗口的類名。
lpszWindow:窗口的標題名。
例如,本示例工程要找到一個對話框里的編輯框,并對這個編輯框進行注入。查找過程如下:
HWND hWndChild = NULL;
while(1)
{
// 查找對話框窗口,且這個對話框窗口的標題名為“TestDlg”
HWND hDlg = FindWindowEx(0, NULL, "#32770", "TestDlg");
if(hDlg == NULL)
{
printf("沒有找到該對話框窗口!\n");
exit(1);
}
else
{
// 查找這個對話框窗口中的edit控件
hWndChild = FindWindowEx(hDlg, NULL, "Edit",NULL);
if(hWndChild != NULL)
{
break; // 找到這個編輯框,現在要對這個編輯框進行注入
}
}
}
// 根據查找出的窗口,查詢進程
DWORD dwQQGameId;
HANDLE hProcessQQGame;
if(!GetWindowThreadProcessId(hWndChild,&dwQQGameId))
{
printf("Error in GetWindowThreadProcessId():%d\n",GetLastError());
exit(1);
}
找到這個進程后,然后就要對這個進程進行注入。但是,你別忘記了,當你在其他進程中獲取另外進程的窗口句柄,你是沒有辦法操作這個句柄的。為什么呢?每個進程都被賦予它自己的虛擬地址空間。對于3 2位進程來說,這個地址空間是4 G B,因
為3 2位指針可以擁有從0 x 0 0 0 0 0 0 0 0至0 x F F F F F F F F之間的任何一個值。這使得一個指針能夠擁有4 294 967 296個值中的一個值,它覆蓋了一個進程的4 G B虛擬空間的范圍。對于6 4位進程來說,這個地址空間是1 6 E B(1 01 8字節),因為6 4位指針可以擁有從0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0至0 x F F F F F F F F F F F F F F F F之間的任何值。這使得一個指針可以擁有18 446 744 073 709 551 616個值中的一個值,它覆蓋了一個進程的1 6 E B虛擬空間的范圍。這是相當大的一個范圍。由于每個進程可以接收它自己的私有的地址空間,因此當進程中的一個線程正在運行時,該線程可以訪問只屬于它的進程的內存。屬于所有其他進程的內存則隱藏著,并且不能被正在運行的線程訪問。注意在Windows 2000中,屬于操作系統本身的內存也是隱藏的,正在運行的線程無法訪問。這意味著線程常常不能訪問操作系統的數據。Windows 98中,屬于操作系統的內存是不隱藏的,正在運行的線程可以訪問。因此,正在運行的線程常常可以訪問操作系統的數據,也可以破壞操作系統(從而有可能導致操作系統崩潰)。在Windows 98中,一個進程的線程不可能訪問屬于另一個進程的內存。前面說過,每個進程有它自己的私有地址空間。進程A可能有一個存放在它的地址空間中的數據結構,地址是0 x 1 2 3 4 5 6 7 8,而進程B則有一個完全不同的數據結構存放在它的地址空間中,地址是0 x 1 2 3 4 5 6 7 8。當進程A中運行的線程訪問地址為0 x 1 2 3 4 5 6 7 8的內存時,這些線程訪問的是進程A的數據結構。當進程B中運行的線程訪問地址為0 x 1 2 3 4 5 6 7 8的內存時,這些線程訪問的是進程B的數據結構。進程A中運行的線程不能訪問進程B的地址空間中的數據結構,反之亦然。
這樣看來,若想對這個窗口句柄進行操作,得想方設法使我們能夠進入到原宿主進程中,然后執行我們的操作。這個就好象一個寄生蟲想要破壞人體的機能,必須得進入我們的體內,寄生在我們的組織上才能夠產生作用。現在關鍵是如何寄生到宿主中呢?
通常,任何進程都可以通過LoadLibrary動態地加載DLL,但是我們如何強制一個外部進程調用該函數呢?答案是CreateRemoteThread。
讓我們先來看看LoadLibrary和FreeLibrary的函數聲明:
HINSTANCE LoadLibrary(
LPCTSTR lpLibFileName // address of filename of library module
);
BOOL FreeLibrary(
HMODULE hLibModule // handle to loaded library module
);
再和CreateRemoteThread的線程過程(thread procedure)ThreadProc比較一下:
DWORD WINAPI ThreadProc(
LPVOID lpParameter // thread data
);
你會發現所有的函數都有同樣的調用約定(calling convention)、都接受一個32位的參數并且返回值類型的大小也一樣。也就是說,我們可以把LoadLibrary/FreeLibrary的指針作為參數傳遞給CrateRemoteThread。
然而,還有兩個問題(參考下面對CreateRemoteThread的說明)
1. 傳遞給ThreadProc的lpStartAddress 參數必須為遠程進程中的線程過程的起始地址。
2. 如果把ThreadProc的lpParameter參數當做一個普通的32位整數(FreeLibrary把它當做HMODULE)那么沒有如何問題,但是如果把它當做一個指針(LoadLibrary把它當做一個char*),它就必須指向遠程進程中的內存數據。
第一個問題其實已經迎刃而解了,因為LoadLibrary和FreeLibrary都是存在于kernel32.dll中的函數,而kernel32可以保證任何“正常”進程中都存在,且其加載地址都是一樣的。(參看附錄A)于是LoadLibrary/FreeLibrary在任何進程中的地址都是一樣的,這就保證了傳遞給遠程進程的指針是個有效的指針。
第二個問題也很簡單:把DLL的文件名(LodLibrary的參數)用WriteProcessMemory復制到遠程進程。
所以,使用CreateRemoteThread和LoadLibrary技術的步驟如下:
1. 得到遠程進程的HANDLE(使用OpenProcess)。
2. 在遠程進程中為DLL文件名分配內存(VirtualAllocEx)。
3. 把DLL的文件名(全路徑)寫到分配的內存中(WriteProcessMemory)
4. 使用CreateRemoteThread和LoadLibrary把你的DLL映射近遠程進程。
5. 等待遠程線程結束(WaitForSingleObject),即等待LoadLibrary返回。也就是說當我們的DllMain(是以DLL_PROCESS_ATTACH為參數調用的)返回時遠程線程也就立即結束了。
6. 取回遠程線程的結束碼(GetExitCodeThtread),即LoadLibrary的返回值――我們DLL加載后的基地址(HMODULE)。
7. 釋放第2步分配的內存(VirtualFreeEx)。
8. 用CreateRemoteThread和FreeLibrary把DLL從遠程進程中卸載。調用時傳遞第6步取得的HMODULE給FreeLibrary(通過CreateRemoteThread的lpParameter參數)。
9. 等待線程的結束(WaitSingleObject)。
主要代碼如下:
#include<stdio.h>
#include<conio.h>
#include<windows.h>
void main()
{
HWND hWndChild = NULL;
while(1)
{
// 查找對話框窗口,且這個對話框窗口的標題名為“TestDlg”
HWND hDlg = FindWindowEx(0, NULL, "#32770", "TestDlg");
if(hDlg == NULL)
{
printf("沒有找到該對話框窗口!\n");
exit(1);
}
else
{
// 查找這個對話框窗口中的edit控件
hWndChild = FindWindowEx(hDlg, NULL, "Edit",NULL);
if(hWndChild != NULL)
{
break; // 找到這個編輯框,現在要對這個編輯框進行注入
}
}
}
// 根據查找出的窗口,查詢進程
DWORD dwQQGameId;
HANDLE hProcessQQGame;
if(!GetWindowThreadProcessId(hWndChild,&dwQQGameId))
{
printf("Error in GetWindowThreadProcessId():%d\n",GetLastError());
exit(1);
}
HINSTANCE hDll = NULL;
typedef void(*LP_SET_HEDIT_FUN)(HWND);
LP_SET_HEDIT_FUN m_SethEdit = NULL;
char DllPath[MAX_PATH] = "D:\\進程注入測試工程\\Bin\\automessagedll.dll";
hDll = LoadLibrary(DllPath);
if(hDll)
{
m_SethEdit = (LP_SET_HEDIT_FUN)GetProcAddress(hDll,"SethEdit");
}
if(m_SethEdit)
{
m_SethEdit(hWndChild);
}
else
{
printf("Can not load SethEdit in the dll(%d).\n",GetLastError());
}
if( (hProcessQQGame = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwQQGameId)) == NULL)
{
printf("Error in OpenProcess():%d\n",GetLastError());
getch();
exit(1);
}
int cb = (1+lstrlen(DllPath))* sizeof(char);
char* RemoteLibFile = (char*)VirtualAllocEx(hProcessQQGame,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
if(RemoteLibFile == NULL)
{
printf("Error in VirtualAllocEx():%d\n",GetLastError());
getch();
exit(1);
}
if( (WriteProcessMemory(hProcessQQGame,RemoteLibFile,(LPVOID)DllPath,cb,NULL)) == 0)
{
printf("Error in WriteProcessMemory():%d\n",GetLastError());
getch();
exit(1);
}
PTHREAD_START_ROUTINE pfnStartAddr;
pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");
HANDLE hThread = CreateRemoteThread(hProcessQQGame,NULL,0,pfnStartAddr,RemoteLibFile,0,NULL);
if(hThread == NULL)
{
printf("Error in CreateRemoteThread():%d",GetLastError());
getch();
exit(1);
}
WaitForSingleObject(hThread,INFINITE);
CloseHandle(hThread);
VirtualFreeEx(hProcessQQGame,RemoteLibFile,0,MEM_RELEASE);
CloseHandle(hProcessQQGame);
}
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/kissyfish/archive/2008/12/07/3462055.aspx