远线程DLL注入技术

远线程DLL注入主要通过使用API CreateRemoteThread创建远程线程来实现，CreateRemoteThread与创建线程用的CreateThread非常相似，除了第一个参数hProcess之外，其他参数都是一样的。hProcess用于指定要在哪个进程中创建远程线程，也就是需要将DLL注入的那个进程。

为了通过将远程线程与DLL加载关联起来，我们可以把LoadLibraryW作为线程函数，把DLL的路径作为线程的参数。对于DLL的路径，因为用户态进程空间是互相独立的，所以我们需要通过VirtualAllocEx在目标进程中分配一块足够大小的内存空间，用于存放DLL的路径字符串，可以通过WriteProcessMemory这个API来实现跨进程写数据。那么又如何获取目标进程空间中LoadLibraryW的地址呢？对于kernel32.dll这样的DLL，操作系统会保证他们在任何进程中加载的基地址都是一样的，这样以来，kernel32.dll中的导出函数的地址也会是固定的，所以我们可以直接通过GetModuleHandle和GetProcAddress这两个API来获取LoadLibraryW的地址。

由于创建远程线程需要进行跨进程内存空间分配、跨进程内存数据读写等操作，所以是需要一定的权限的。我们必须将发起进程提升到一定的权限，否则操作会失败。通常将进程提升到DEBUG权限即可。

示例代码：

// 实际使用时请合理校验中间步骤的操作结果是否成功

BOOL DllInject(DWORD dwPid, TCHAR szDllPath[])

{

BOOL bRet = FALSE;

HANDLE hRemoteProcess = OpenProcess(

PROCESS_CREATE_THREAD | PROCESS_VM_WRITE | PROCESS_VM_OPERATION,

FALSE,

dwPid);



HMODULE hKrl32 = GetModuleHandle(TEXT("kernel32.dll"));

RemoteThreadProc remoteThreadProc = (RemoteThreadProc)GetProcAddress(hKrl32, "LoadLibraryW");



DWORD cbSize = (lstrlen(szDllPath) + 1) * sizeof(szDllPath[0]);

TCHAR *pszRemoteParam = (TCHAR *)VirtualAllocEx(hRemoteProcess,

0, cbSize,

MEM_COMMIT, PAGE_READWRITE);



BOOL bWriteMem = WriteProcessMemory(hRemoteProcess,

(PVOID)pszRemoteParam,

(PVOID)szDllPath,

cbSize,

NULL);



HANDLE hThread = CreateRemoteThread(hRemoteProcess,

NULL,

0,

remoteThreadProc,

(LPVOID)pszRemoteParam,

0,

NULL);



WaitForSingleObject(hThread, INFINITE);

// 判断注入是否成功

DWORD dwExitCode = 0;

bRet = GetExitCodeThread(hThread, &dwExitCode);

if (NULL == dwExitCode)

{

bRet = FALSE;

}



CloseHandle(hThread);

VirtualFreeEx(hRemoteProcess, (LPVOID)pszRemoteParam, cbSize, MEM_RELEASE);

CloseHandle(hRemoteProcess);

return bRet;

}



如何卸载远程DLL呢？同样可以使用这个方法来调用GetModuleHandle和FreeLibrary。