要實(shí)現(xiàn)對(duì)一個(gè)程序的進(jìn)程注入,然后對(duì)被注入的進(jìn)程進(jìn)行控制,首先需要查找到要注入的進(jìn)程ID。如何獲取的進(jìn)程ID呢?windows提供了一個(gè)API只要知道了這個(gè)進(jìn)程里面的一個(gè)窗口句柄,就可以找到找到該進(jìn)程ID。函數(shù)形式如下:DWORD GetWindowThreadProcessId(
HWND hWnd,
LPDWORD lpdwProcessId
);
那如何獲取這個(gè)窗口的句柄呢?很自然我們可以想到這么一個(gè)函數(shù),函數(shù)形式如下:
HWND FindWindowEx(
HWND hwndParent,
HWND hwndChildAfter,
LPCTSTR lpszClass,
LPCTSTR lpszWindow
);
hwndParent:指向一個(gè)待搜索窗口的父窗。
hwndChildAfter:子窗口的句柄。
lpszClass:窗口的類名。
lpszWindow:窗口的標(biāo)題名。
例如,本示例工程要找到一個(gè)對(duì)話框里的編輯框,并對(duì)這個(gè)編輯框進(jìn)行注入。查找過程如下:
HWND hWndChild = NULL;
while(1)
{
// 查找對(duì)話框窗口,且這個(gè)對(duì)話框窗口的標(biāo)題名為“TestDlg”
HWND hDlg = FindWindowEx(0, NULL, "#32770", "TestDlg");
if(hDlg == NULL)
{
printf("沒有找到該對(duì)話框窗口!\n");
exit(1);
}
else
{
// 查找這個(gè)對(duì)話框窗口中的edit控件
hWndChild = FindWindowEx(hDlg, NULL, "Edit",NULL);
if(hWndChild != NULL)
{
break; // 找到這個(gè)編輯框,現(xiàn)在要對(duì)這個(gè)編輯框進(jìn)行注入
}
}
}
// 根據(jù)查找出的窗口,查詢進(jìn)程
DWORD dwQQGameId;
HANDLE hProcessQQGame;
if(!GetWindowThreadProcessId(hWndChild,&dwQQGameId))
{
printf("Error in GetWindowThreadProcessId():%d\n",GetLastError());
exit(1);
}
找到這個(gè)進(jìn)程后,然后就要對(duì)這個(gè)進(jìn)程進(jìn)行注入。但是,你別忘記了,當(dāng)你在其他進(jìn)程中獲取另外進(jìn)程的窗口句柄,你是沒有辦法操作這個(gè)句柄的。為什么呢?每個(gè)進(jìn)程都被賦予它自己的虛擬地址空間。對(duì)于3 2位進(jìn)程來(lái)說(shuō),這個(gè)地址空間是4 G B,因
為3 2位指針可以擁有從0 x 0 0 0 0 0 0 0 0至0 x F F F F F F F F之間的任何一個(gè)值。這使得一個(gè)指針能夠擁有4 294 967 296個(gè)值中的一個(gè)值,它覆蓋了一個(gè)進(jìn)程的4 G B虛擬空間的范圍。對(duì)于6 4位進(jìn)程來(lái)說(shuō),這個(gè)地址空間是1 6 E B(1 01 8字節(jié)),因?yàn)? 4位指針可以擁有從0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0至0 x F F F F F F F F F F F F F F F F之間的任何值。這使得一個(gè)指針可以擁有18 446 744 073 709 551 616個(gè)值中的一個(gè)值,它覆蓋了一個(gè)進(jìn)程的1 6 E B虛擬空間的范圍。這是相當(dāng)大的一個(gè)范圍。由于每個(gè)進(jìn)程可以接收它自己的私有的地址空間,因此當(dāng)進(jìn)程中的一個(gè)線程正在運(yùn)行時(shí),該線程可以訪問只屬于它的進(jìn)程的內(nèi)存。屬于所有其他進(jìn)程的內(nèi)存則隱藏著,并且不能被正在運(yùn)行的線程訪問。注意在Windows 2000中,屬于操作系統(tǒng)本身的內(nèi)存也是隱藏的,正在運(yùn)行的線程無(wú)法訪問。這意味著線程常常不能訪問操作系統(tǒng)的數(shù)據(jù)。Windows 98中,屬于操作系統(tǒng)的內(nèi)存是不隱藏的,正在運(yùn)行的線程可以訪問。因此,正在運(yùn)行的線程常常可以訪問操作系統(tǒng)的數(shù)據(jù),也可以破壞操作系統(tǒng)(從而有可能導(dǎo)致操作系統(tǒng)崩潰)。在Windows 98中,一個(gè)進(jìn)程的線程不可能訪問屬于另一個(gè)進(jìn)程的內(nèi)存。前面說(shuō)過,每個(gè)進(jìn)程有它自己的私有地址空間。進(jìn)程A可能有一個(gè)存放在它的地址空間中的數(shù)據(jù)結(jié)構(gòu),地址是0 x 1 2 3 4 5 6 7 8,而進(jìn)程B則有一個(gè)完全不同的數(shù)據(jù)結(jié)構(gòu)存放在它的地址空間中,地址是0 x 1 2 3 4 5 6 7 8。當(dāng)進(jìn)程A中運(yùn)行的線程訪問地址為0 x 1 2 3 4 5 6 7 8的內(nèi)存時(shí),這些線程訪問的是進(jìn)程A的數(shù)據(jù)結(jié)構(gòu)。當(dāng)進(jìn)程B中運(yùn)行的線程訪問地址為0 x 1 2 3 4 5 6 7 8的內(nèi)存時(shí),這些線程訪問的是進(jìn)程B的數(shù)據(jù)結(jié)構(gòu)。進(jìn)程A中運(yùn)行的線程不能訪問進(jìn)程B的地址空間中的數(shù)據(jù)結(jié)構(gòu),反之亦然。
這樣看來(lái),若想對(duì)這個(gè)窗口句柄進(jìn)行操作,得想方設(shè)法使我們能夠進(jìn)入到原宿主進(jìn)程中,然后執(zhí)行我們的操作。這個(gè)就好象一個(gè)寄生蟲想要破壞人體的機(jī)能,必須得進(jìn)入我們的體內(nèi),寄生在我們的組織上才能夠產(chǎn)生作用。現(xiàn)在關(guān)鍵是如何寄生到宿主中呢?
通常,任何進(jìn)程都可以通過LoadLibrary動(dòng)態(tài)地加載DLL,但是我們?nèi)绾螐?qiáng)制一個(gè)外部進(jìn)程調(diào)用該函數(shù)呢?答案是CreateRemoteThread。
讓我們先來(lái)看看LoadLibrary和FreeLibrary的函數(shù)聲明:
HINSTANCE LoadLibrary(
LPCTSTR lpLibFileName // address of filename of library module
);
BOOL FreeLibrary(
HMODULE hLibModule // handle to loaded library module
);
再和CreateRemoteThread的線程過程(thread procedure)ThreadProc比較一下:
DWORD WINAPI ThreadProc(
LPVOID lpParameter // thread data
);
你會(huì)發(fā)現(xiàn)所有的函數(shù)都有同樣的調(diào)用約定(calling convention)、都接受一個(gè)32位的參數(shù)并且返回值類型的大小也一樣。也就是說(shuō),我們可以把LoadLibrary/FreeLibrary的指針作為參數(shù)傳遞給CrateRemoteThread。
然而,還有兩個(gè)問題(參考下面對(duì)CreateRemoteThread的說(shuō)明)
1. 傳遞給ThreadProc的lpStartAddress 參數(shù)必須為遠(yuǎn)程進(jìn)程中的線程過程的起始地址。
2. 如果把ThreadProc的lpParameter參數(shù)當(dāng)做一個(gè)普通的32位整數(shù)(FreeLibrary把它當(dāng)做HMODULE)那么沒有如何問題,但是如果把它當(dāng)做一個(gè)指針(LoadLibrary把它當(dāng)做一個(gè)char*),它就必須指向遠(yuǎn)程進(jìn)程中的內(nèi)存數(shù)據(jù)。
第一個(gè)問題其實(shí)已經(jīng)迎刃而解了,因?yàn)長(zhǎng)oadLibrary和FreeLibrary都是存在于kernel32.dll中的函數(shù),而kernel32可以保證任何“正常”進(jìn)程中都存在,且其加載地址都是一樣的。(參看附錄A)于是LoadLibrary/FreeLibrary在任何進(jìn)程中的地址都是一樣的,這就保證了傳遞給遠(yuǎn)程進(jìn)程的指針是個(gè)有效的指針。
第二個(gè)問題也很簡(jiǎn)單:把DLL的文件名(LodLibrary的參數(shù))用WriteProcessMemory復(fù)制到遠(yuǎn)程進(jìn)程。
所以,使用CreateRemoteThread和LoadLibrary技術(shù)的步驟如下:
1. 得到遠(yuǎn)程進(jìn)程的HANDLE(使用OpenProcess)。
2. 在遠(yuǎn)程進(jìn)程中為DLL文件名分配內(nèi)存(VirtualAllocEx)。
3. 把DLL的文件名(全路徑)寫到分配的內(nèi)存中(WriteProcessMemory)
4. 使用CreateRemoteThread和LoadLibrary把你的DLL映射近遠(yuǎn)程進(jìn)程。
5. 等待遠(yuǎn)程線程結(jié)束(WaitForSingleObject),即等待LoadLibrary返回。也就是說(shuō)當(dāng)我們的DllMain(是以DLL_PROCESS_ATTACH為參數(shù)調(diào)用的)返回時(shí)遠(yuǎn)程線程也就立即結(jié)束了。
6. 取回遠(yuǎn)程線程的結(jié)束碼(GetExitCodeThtread),即LoadLibrary的返回值――我們DLL加載后的基地址(HMODULE)。
7. 釋放第2步分配的內(nèi)存(VirtualFreeEx)。
8. 用CreateRemoteThread和FreeLibrary把DLL從遠(yuǎn)程進(jìn)程中卸載。調(diào)用時(shí)傳遞第6步取得的HMODULE給FreeLibrary(通過CreateRemoteThread的lpParameter參數(shù))。
9. 等待線程的結(jié)束(WaitSingleObject)。
主要代碼如下:
#include<stdio.h>
#include<conio.h>
#include<windows.h>
void main()
{
HWND hWndChild = NULL;
while(1)
{
// 查找對(duì)話框窗口,且這個(gè)對(duì)話框窗口的標(biāo)題名為“TestDlg”
HWND hDlg = FindWindowEx(0, NULL, "#32770", "TestDlg");
if(hDlg == NULL)
{
printf("沒有找到該對(duì)話框窗口!\n");
exit(1);
}
else
{
// 查找這個(gè)對(duì)話框窗口中的edit控件
hWndChild = FindWindowEx(hDlg, NULL, "Edit",NULL);
if(hWndChild != NULL)
{
break; // 找到這個(gè)編輯框,現(xiàn)在要對(duì)這個(gè)編輯框進(jìn)行注入
}
}
}
// 根據(jù)查找出的窗口,查詢進(jìn)程
DWORD dwQQGameId;
HANDLE hProcessQQGame;
if(!GetWindowThreadProcessId(hWndChild,&dwQQGameId))
{
printf("Error in GetWindowThreadProcessId():%d\n",GetLastError());
exit(1);
}
HINSTANCE hDll = NULL;
typedef void(*LP_SET_HEDIT_FUN)(HWND);
LP_SET_HEDIT_FUN m_SethEdit = NULL;
char DllPath[MAX_PATH] = "D:\\進(jìn)程注入測(cè)試工程\\Bin\\automessagedll.dll";
hDll = LoadLibrary(DllPath);
if(hDll)
{
m_SethEdit = (LP_SET_HEDIT_FUN)GetProcAddress(hDll,"SethEdit");
}
if(m_SethEdit)
{
m_SethEdit(hWndChild);
}
else
{
printf("Can not load SethEdit in the dll(%d).\n",GetLastError());
}
if( (hProcessQQGame = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwQQGameId)) == NULL)
{
printf("Error in OpenProcess():%d\n",GetLastError());
getch();
exit(1);
}
int cb = (1+lstrlen(DllPath))* sizeof(char);
char* RemoteLibFile = (char*)VirtualAllocEx(hProcessQQGame,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
if(RemoteLibFile == NULL)
{
printf("Error in VirtualAllocEx():%d\n",GetLastError());
getch();
exit(1);
}
if( (WriteProcessMemory(hProcessQQGame,RemoteLibFile,(LPVOID)DllPath,cb,NULL)) == 0)
{
printf("Error in WriteProcessMemory():%d\n",GetLastError());
getch();
exit(1);
}
PTHREAD_START_ROUTINE pfnStartAddr;
pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");
HANDLE hThread = CreateRemoteThread(hProcessQQGame,NULL,0,pfnStartAddr,RemoteLibFile,0,NULL);
if(hThread == NULL)
{
printf("Error in CreateRemoteThread():%d",GetLastError());
getch();
exit(1);
}
WaitForSingleObject(hThread,INFINITE);
CloseHandle(hThread);
VirtualFreeEx(hProcessQQGame,RemoteLibFile,0,MEM_RELEASE);
CloseHandle(hProcessQQGame);
}
本文來(lái)自CSDN博客,轉(zhuǎn)載請(qǐng)標(biāo)明出處:http://blog.csdn.net/kissyfish/archive/2008/12/07/3462055.aspx