CreateRemoteThread提供了一個在遠程進程中執行代碼的方法,就像代碼長出翅膀飛到別處運行。本文將做一個入門介紹,希望對廣大編程愛好者有所幫助。
先解釋一下遠程進程,其實就是要植入你的代碼的進程,相對于你的工作進程(如果叫本地進程的話)它就叫遠程進程,可理解為宿主。
首先介紹一下我們的主要工具CreateRemoteThread,這里先將函數原型簡單介紹以下。
CreateRemoteThread可將線程創建在遠程進程中。
函數原型
HANDLE CreateRemoteThread(
HANDLE hProcess, // handle to process
LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD
SIZE_T dwStackSize, // initial stack size
LPTHREAD_START_ROUTINE lpStartAddress, // thread function
LPVOID lpParameter, // thread argument
DWORD dwCreationFlags, // creation option
LPDWORD lpThreadId // thread identifier
);
參數說明:
hProcess
[輸入] 進程句柄
lpThreadAttributes
[輸入] 線程安全描述字,指向SECURITY_ATTRIBUTES結構的指針
dwStackSize
[輸入] 線程棧大小,以字節表示
lpStartAddress
[輸入] 一個LPTHREAD_START_ROUTINE類型的指針,指向在遠程進程中執行的函數地址
lpParameter
[輸入] 傳入參數
dwCreationFlags
[輸入] 創建線程的其它標志
lpThreadId
[輸出] 線程身份標志,如果為NULL,則不返回
返回值
成功返回新線程句柄,失敗返回NULL,并且可調用GetLastError獲得錯誤值。
接下來我們將以兩種方式使用CreateRemoteThread,大家可以領略到CreateRemoteThread的神通,它使你的代碼可以脫離你的進程,植入到別的進程中運行。
第一種方式
第一種方式,我們使用函數的形式。即我們將自己程序中的一個函數植入到遠程進程中。
步驟1:首先在你的進程中創建函數MyFunc,我們將把它放在另一個進程中運行,這里以windows
計算器為目標進程。
static DWORD WINAPI MyFunc (LPVOID pData)
{
//do something
//...
//pData輸入項可以是任何類型值
//這里我們會傳入一個DWORD的值做示例,并且簡單返回
return *(DWORD*)pData;
}
static void AfterMyFunc (void) {
}
這里有個小技巧,定義了一個static void AfterMyFunc (void);為了下面確定我們的代碼大小
步驟2:定位目標進程,這里是一個計算器
HWND hStart = ::FindWindow (TEXT("SciCalc"),NULL);
步驟3:獲得目標進程句柄,這里用到兩個不太常用的函數(當然如果經常做線程/進程等方面的 項目的話,就很面熟了),但及有用
DWORD PID, TID;
TID = ::GetWindowThreadProcessId (hStart, &PID);
HANDLE hProcess;
hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,PID);
步驟4:在目標進程中配變量地址空間,這里我們分配10個字節,并且設定為可以讀
寫PAGE_READWRITE,當然也可設為只讀等其它標志,這里就不一一說明了。
char szBuffer[10];
*(DWORD*)szBuffer=1000;//for test
void *pDataRemote =(char*) VirtualAllocEx( hProcess, 0, sizeof(szBuffer), MEM_COMMIT,
PAGE_READWRITE );
步驟5:寫內容到目標進程中分配的變量空間
::WriteProcessMemory( hProcess, pDataRemote, szBuffer,(sizeof(szBuffer),NULL);
步驟6:在目標進程中分配代碼地址空間
計算代碼大小
DWORD cbCodeSize=((LPBYTE) AfterMyFunc - (LPBYTE) MyFunc);
分配代碼地址空間
PDWORD pCodeRemote = (PDWORD) VirtualAllocEx( hProcess, 0, cbCodeSize, MEM_COMMIT,
PAGE_EXECUTE_READWRITE );
步驟7:寫內容到目標進程中分配的代碼地址空間
WriteProcessMemory( hProcess, pCodeRemote, &MyFunc, cbCodeSize, NULL);
步驟8:在目標進程中執行代碼
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE) pCodeRemote,
pDataRemote, 0 , NULL);
DWORD h;
if (hThread)
{
::WaitForSingleObject( hThread, INFINITE );
::GetExitCodeThread( hThread, &h );
TRACE("run and return %d\n",h);
::CloseHandle( hThread );
}
這里有幾個值得說明的地方:
使用WaitForSingleObject等待線程結束;
使用GetExitCodeThread獲得返回值;
最后關閉句柄CloseHandle。
步驟9:清理現場
釋放空間
::VirtualFreeEx( hProcess, pCodeRemote,
cbCodeSize,MEM_RELEASE );
::VirtualFreeEx( hProcess, pDataRemote,
cbParamSize,MEM_RELEASE );
關閉進程句柄
::CloseHandle( hProcess );
第二種方式
第二種方式,我們使用動態庫的形式。即我們將自己一個動態庫植入到遠程進程中。
這里不再重復上面相同的步驟,只寫出其中關鍵的地方.
關鍵1:
在步驟5中將動態庫的路徑作為變量傳入變量空間.
關鍵2:
在步驟8中,將GetProcAddress作為目標執行函數.
hThread = ::CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE )::GetProcAddress(
hModule, "LoadLibraryA"),
pDataRemote, 0, NULL );
另外在步驟9,清理現場中首先要先進行釋放我們的動態庫.也即類似步驟8執行函數FreeLibrary
hThread = ::CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE )::GetProcAddress(
hModule, "FreeLibrary"),
(void*)hLibModule, 0, NULL );
好了,限于篇幅不能夠介紹的很細,在使用過程中如有疑問可向作者咨詢.(開發環境:windows2000/vc6.0)
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/fangchao918628/archive/2008/08/30/2852744.aspx