先解释一下远程进程,其实就是要植入你的代码的进程,相对于你的工作进程(如果叫本地进程的话)它就叫远程进程,可理解为宿主。 e6o/q)9#
J+0/ :00(
首先介绍一下我们的主要工具CreateRemoteThread,这里先将函数原型简单介绍以下。 Z$1.^H.Db
NQg'|Pt(%
CreateRemoteThread可将线程创建在远程进程中。 e7lo!(>#
@OY1`EuO
函数原型 prqT (1
HANDLE CreateRemoteThread( 'Z59<Y a&x
HANDLE hProcess, // handle to process A0UV+ -PP
LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD P:>'
SIZE_T dwStackSize, // initial stack size #g F2(iK6
LPTHREAD_START_ROUTINE lpStartAddress, // thread function xSx&79Ez<*
LPVOID lpParameter, // thread argument Z4\tY^NI
DWORD dwCreationFlags, // creation option ~37R0`C
LPDWORD lpThreadId // thread identifier `!<x"xKu
); O(WEgz
参数说明: LgO i3
hProcess aD?# ,
[输入] 进程句柄
v*smI7aH
lpThreadAttributes ,n^TN{#
[输入] 线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 ^dheJ]n=k
dwStackSize ix(U:'{
[输入] 线程栈大小,以字节表示 tN[St
lpStartAddress q|R+x7x
[输入] 一个LPTHREAD_START_ROUTINE类型的指针,指向在远程进程中执行的函数地址 FK-}i|di
lpParameter M\9at\$
[输入] 传入参数 %uh R'8"
dwCreationFlags 7E;>E9 '
[输入] 创建线程的其它标志 7zOhyl?
!}z%#$
lpThreadId 7ytm.lU
[输出] 线程身份标志,如果为NULL,则不返回 v!nm
&"
UEN YJ*tnP
返回值 |*lH9lWJ
成功返回新线程句柄,失败返回NULL,并且可调用GetLastError获得错误值。 /;zZnF\e
xWd9%,mDNR
接下来我们将以两种方式使用CreateRemoteThread,大家可以领略到CreateRemoteThread的神通,它使你的代码可以脱离你的进程,植入到别的进程中运行。 ;Gjv9:hUn
I[tAT[ <
第一种方式,我们使用函数的形式。即我们将自己程序中的一个函数植入到远程进程中。 9vB9k@9
QWU5-p9e8
步骤1:首先在你的进程中创建函数MyFunc,我们将把它放在另一个进程中运行,这里以windows Rh!L'?C
xmCm3ekmpC
计算器为目标进程。 j:3A;r\
static DWORD WINAPI MyFunc (LPVOID pData) OI)&vQ5k
{ V`WI"HO+
//do something s#'|{
//... v]LFZI5
//pData输入项可以是任何类型值 % <8K^|w
//这里我们会传入一个DWORD的值做示例,并且简单返回 -0=}|$H.
return *(DWORD*)pData; c@0l-R{q
} MsN2A6|33
static void AfterMyFunc (void) { .F{}~K]
} ;g;,%jdCS
这里有个小技巧,定义了一个static void AfterMyFunc (void);为了下面确定我们的代码大小 Ri^sQ<