CreateRemoteThread提供了一個在遠(yuǎn)程進(jìn)程中執(zhí)行代碼的方法,就像代碼長出翅膀飛到別處運(yùn)行。本文將做一個入門介紹,希望對廣大編程愛好者有所幫助。
先解釋一下遠(yuǎn)程進(jìn)程,其實就是要植入你的代碼的進(jìn)程,相對于你的工作進(jìn)程(如果叫本地進(jìn)程的話)它就叫遠(yuǎn)程進(jìn)程,可理解為宿主。
首先介紹一下我們的主要工具CreateRemoteThread,這里先將函數(shù)原型簡單介紹以下。
CreateRemoteThread可將線程創(chuàng)建在遠(yuǎn)程進(jìn)程中。
函數(shù)原型
HANDLE CreateRemoteThread(
HANDLE hProcess, // handle to process
LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD
SIZE_T dwStackSize, // initial stack size
LPTHREAD_START_ROUTINE lpStartAddress, // thread function
LPVOID lpParameter, // thread argument
DWORD dwCreationFlags, // creation option
LPDWORD lpThreadId // thread identifier
);
參數(shù)說明:
hProcess
[輸入] 進(jìn)程句柄
lpThreadAttributes
[輸入] 線程安全描述字,指向SECURITY_ATTRIBUTES結(jié)構(gòu)的指針
dwStackSize
[輸入] 線程棧大小,以字節(jié)表示
lpStartAddress
[輸入] 一個LPTHREAD_START_ROUTINE類型的指針,指向在遠(yuǎn)程進(jìn)程中執(zhí)行的函數(shù)地址
lpParameter
[輸入] 傳入?yún)?shù)
dwCreationFlags
[輸入] 創(chuàng)建線程的其它標(biāo)志
lpThreadId
[輸出] 線程身份標(biāo)志,如果為NULL,則不返回
返回值
成功返回新線程句柄,失敗返回NULL,并且可調(diào)用GetLastError獲得錯誤值。
接下來我們將以兩種方式使用CreateRemoteThread,大家可以領(lǐng)略到CreateRemoteThread的神通,它使你的代碼可以脫離你的進(jìn)程,植入到別的進(jìn)程中運(yùn)行。
第一種方式
第一種方式,我們使用函數(shù)的形式。即我們將自己程序中的一個函數(shù)植入到遠(yuǎn)程進(jìn)程中。
步驟1:首先在你的進(jìn)程中創(chuàng)建函數(shù)MyFunc,我們將把它放在另一個進(jìn)程中運(yùn)行,這里以windows
計算器為目標(biāo)進(jìn)程。
static DWORD WINAPI MyFunc (LPVOID pData)
{
//do something
//...
//pData輸入項可以是任何類型值
//這里我們會傳入一個DWORD的值做示例,并且簡單返回
return *(DWORD*)pData;
}
static void AfterMyFunc (void) {
}
這里有個小技巧,定義了一個static void AfterMyFunc (void);為了下面確定我們的代碼大小
步驟2:定位目標(biāo)進(jìn)程,這里是一個計算器
HWND hStart = ::FindWindow (TEXT("SciCalc"),NULL);
步驟3:獲得目標(biāo)進(jìn)程句柄,這里用到兩個不太常用的函數(shù)(當(dāng)然如果經(jīng)常做線程/進(jìn)程等方面的 項目的話,就很面熟了),但及有用
DWORD PID, TID;
TID = ::GetWindowThreadProcessId (hStart, &PID);
HANDLE hProcess;
hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,PID);
步驟4:在目標(biāo)進(jìn)程中配變量地址空間,這里我們分配10個字節(jié),并且設(shè)定為可以讀
寫PAGE_READWRITE,當(dāng)然也可設(shè)為只讀等其它標(biāo)志,這里就不一一說明了。
char szBuffer[10];
*(DWORD*)szBuffer=1000;//for test
void *pDataRemote =(char*) VirtualAllocEx( hProcess, 0, sizeof(szBuffer), MEM_COMMIT,
PAGE_READWRITE );
步驟5:寫內(nèi)容到目標(biāo)進(jìn)程中分配的變量空間
::WriteProcessMemory( hProcess, pDataRemote, szBuffer,(sizeof(szBuffer),NULL);
步驟6:在目標(biāo)進(jìn)程中分配代碼地址空間
計算代碼大小
DWORD cbCodeSize=((LPBYTE) AfterMyFunc - (LPBYTE) MyFunc);
分配代碼地址空間
PDWORD pCodeRemote = (PDWORD) VirtualAllocEx( hProcess, 0, cbCodeSize, MEM_COMMIT,
PAGE_EXECUTE_READWRITE );
步驟7:寫內(nèi)容到目標(biāo)進(jìn)程中分配的代碼地址空間
WriteProcessMemory( hProcess, pCodeRemote, &MyFunc, cbCodeSize, NULL);
步驟8:在目標(biāo)進(jìn)程中執(zhí)行代碼
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE) pCodeRemote,
pDataRemote, 0 , NULL);
DWORD h;
if (hThread)
{
::WaitForSingleObject( hThread, INFINITE );
::GetExitCodeThread( hThread, &h );
TRACE("run and return %d\n",h);
::CloseHandle( hThread );
}
這里有幾個值得說明的地方:
使用WaitForSingleObject等待線程結(jié)束;
使用GetExitCodeThread獲得返回值;
最后關(guān)閉句柄CloseHandle。
步驟9:清理現(xiàn)場
釋放空間
::VirtualFreeEx( hProcess, pCodeRemote,
cbCodeSize,MEM_RELEASE );
::VirtualFreeEx( hProcess, pDataRemote,
cbParamSize,MEM_RELEASE );
關(guān)閉進(jìn)程句柄
::CloseHandle( hProcess );
第二種方式
第二種方式,我們使用動態(tài)庫的形式。即我們將自己一個動態(tài)庫植入到遠(yuǎn)程進(jìn)程中。
這里不再重復(fù)上面相同的步驟,只寫出其中關(guān)鍵的地方.
關(guān)鍵1:
在步驟5中將動態(tài)庫的路徑作為變量傳入變量空間.
關(guān)鍵2:
在步驟8中,將GetProcAddress作為目標(biāo)執(zhí)行函數(shù).
hThread = ::CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE )::GetProcAddress(
hModule, "LoadLibraryA"),
pDataRemote, 0, NULL );
另外在步驟9,清理現(xiàn)場中首先要先進(jìn)行釋放我們的動態(tài)庫.也即類似步驟8執(zhí)行函數(shù)FreeLibrary
hThread = ::CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE )::GetProcAddress(
hModule, "FreeLibrary"),
(void*)hLibModule, 0, NULL );
好了,限于篇幅不能夠介紹的很細(xì),在使用過程中如有疑問可向作者咨詢.(開發(fā)環(huán)境:windows2000/vc6.0)
本文來自CSDN博客,轉(zhuǎn)載請標(biāo)明出處:http://blog.csdn.net/fangchao918628/archive/2008/08/30/2852744.aspx