一、DLL注入技術的用途

DLL注入技術的用途是很廣泛的，這主要體現在：

1、假如你要操縱的對象涉及的數據不在進程內；

2、你想對目標進程中的函數進行攔截(甚至API函數，嘿嘿，由此編寫個攔截timeGettime的過程，變速齒輪不就出來了么？改天我試試)，比如對它所屬窗口進行子類化。

3、你想編寫一些函數用於增強或增加目標進程功能，比如可以給目標進程的某個窗口插入個消息循環增加其響應能力。（Mfc Windows程序設計稱之為消息泵）。

4、隱藏自己的程序，很多惡意程序都是這樣做的，即使你將惡意程序的進程結束掉也毫無意義了，因為它自己已經插入到很多進程中去了，唯一有效的辦法只有註銷windows.。如果你是個愛搞破壞的人就更應該掌握該技術了，不但可以利用該技術實現隱藏自己的進程，還可以破壞某個目標進程。因為將破壞代碼插入到目標進程進行破壞的話簡直易如反掌。不信試試？:(

二、實現DLL注入的另一種方法

1、將DLL注入進程技術在實現Api函數的監視程序中不可缺少的一項工作。其中最常見的就是用SetWindowsHookEx函數實現了。不過，該方法的缺點是被監視的目標進程必須有窗口，這樣，SetWindowsHookEx才能將DLL注入目標進程中。而且，目標程序已經運行了，那麼，在窗口創建之前的Api函數就不能被Hook了。

2、另外一種方法用Debug方案，就可以實現在程序創建時監視所有的Api了，缺點是必須是目標進程的Debug源，在監視程序終了時，目標進程會無條件終了。最大的缺點就是無法調試注入的DLL。

3、還有其他多種方案也可以實現DLL的注入，在《Windows核心編程》一書中就介紹了8－9種，其中有一種採用CreateProcess的方法，實現起來比較複雜，但沒有上面幾種方法的局限性。且可以用其他工具（VC等）調試注入的DLL。下面進行介紹。

原理如下：

1）． 用CreateProcess（CREATE_SUSPENDED）啟動目標進程。

2）． 找到目標進程的入口，用ImageHlp中的函數可以實現。

3）． 將目標進程入口的代碼保存起來。

4）． 在目標進程的入口寫入LoadLibrary（MyDll）實現Dll的注入。

5）． 用ResumeThread運行目標進程。

6）． 目標進程就運行了LoadLibrary（MyDll），實現DLL的注入。

7）． 目標進程運行完LoadLibrary(MyDll)後，將原來的代碼寫回目標進程的入口。

8）． 目標進程Jmp至原來的入口，繼續運行程序。

從原理上可以看出，DLL的注入在目標進程的開始就運行了，而且不是用Debug的方案，這樣，就沒有上面方案的局限性了。該方案的關鍵在6，7，8三步，實現方法需要監視進程和DLL合作。下面，結合代碼進行分析。

在監視進程中，創建FileMapping，用來保存目標進程的入口代碼，同時保證DLL中可以訪問。在第7步實現將原目標代碼寫回目標進程的入口。

[cpp] view plain copy print?

1. // 監視程序和DLL共用的結構體

2. #pragma pack (push ,1) // 保證下面的結構體採用BYTE對齊（必須）

3. typedef struct

4. {

5. BYTE int_PUSHAD; // pushad 0x60

6. BYTE int_PUSH; // push &szDLL 0x68

7. DWORD push_Value; // &szDLL = "ApiSpy.dll"的path

8. BYTE int_MOVEAX; // move eax &LoadLibrary 0xB8

9. DWORD eax_Value; // &LoadLibrary

10. WORD call_eax; // call eax 0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll");

11. BYTE jmp_MOVEAX; // move eax &ReplaceOldCode 0xB8

12. DWORD jmp_Value; // JMP的參數

13. WORD jmp_eax; // jmp eax 0xE0FF(FF E0) jmp ReplaceOldCode;

14. char szDLL[MAX_PATH]; // "ApiSpy.dll"的FullPath

15. }INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;

16. #pragma pack (pop , 1)

// 監視程序和DLL共用的結構體

上面結構體的代碼為彙編代碼，對應的彙編為：

[cpp] view plain copy print?

1. pushad

2. push szDll

3. mov eax, &LoadLibraryA

4. call eax // 實現調用LoadLibrary(szDll)的代碼

5. mov eax, oldentry

6. jmp eax // 實現在LoadLibrary運行完後, 跳至目標進程的入口繼續運行

7. // FileMaping的結構體

8. typedef struct

9. {

10. LPBYTE lpEntryPoint; // 目標進程的入口地址

11. BYTE oldcode[sizeof(INJECT_CODE)]; // 目標進程的代碼保存

12. }SPY_MEM_SHARE, * LPSPY_MEM_SHARE;

pushad

準備工作：

第一步：用CreateProcess（CREATE_SUSPENDED）啟動目標進程。

[cpp] view plain copy print?

1. CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED

2. 0, NULL, &stInfo,

3. &m_proInfo) ;

CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED

用CreateProcess啟動一個暫停的目標進程；

找到目標進程的入口點，函數如下

第二步：找到目標進程的入口，用ImageHlp中的函數可以實現。

[cpp] view plain copy print?

1. pEntryPoint = GetExeEntryPoint(szRunFile);

2. LPBYTE GetExeEntryPoint(char *filename)

3. {

4. PIMAGE_NT_HEADERS pNTHeader;

5. DWORD pEntryPoint;

6. PLOADED_IMAGE pImage;

7. pImage = ImageLoad(filename, NULL);

8. if(pImage == NULL)

9. return NULL;

10. pNTHeader = pImage->FileHeader;

11. pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase;

12. ImageUnload(pImage);

13. return (LPBYTE)pEntryPoint;

14. }

pEntryPoint = GetExeEntryPoint(szRunFile);

// 創建FileMapping

[cpp] view plain copy print?

1. hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,

2. PAGE_READWRITE, 0, sizeof(SPY_MEM_SHARE), 「MyDllMapView」);

hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,

// 保存目標進程的代碼

第三步：將目標進程入口的代碼保存起來。

[cpp] view plain copy print?

1. LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS,0, 0, 0);

2. ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,&lpMap->oldcode, sizeof(INJECT_CODE),&cBytesMoved);

3. lpMap->lpEntryPoint = pEntryPoint;

LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS,0, 0, 0);

// 第四步：在目標進程的入口寫入LoadLibrary（MyDll）實現Dll的注入。

// 準備注入DLL的代碼

[cpp] view plain copy print?

1. INJECT_CODE newCode;

2. // 寫入MyDll―――用全路徑

3. lstrcpy(newCode.szDLL, szMyDll);

4. // 準備硬代碼（彙編代碼）

5. newCode.int_PUSHAD = 0x60;

6. newCode.int_PUSH = 0x68;

7. newCode.int_MOVEAX = 0xB8;

8. newCode.call_eax = 0xD0FF;

9. newCode.jmp_MOVEAX = 0xB8;

10. newCode.jmp_eax = 0xE0FF;

11. newCode.eax_Value = (DWORD)＆LoadLibrary;

12. newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));

13. // 將硬代碼寫入目標進程的入口

14. // 修改內存屬性

15. DWORD dwNewFlg, dwOldFlg;

16. dwNewFlg = PAGE_READWRITE;

17. VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);

18. WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,&newCode, sizeof(newCode), NULL);//&dwWrited);

19. VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);

20. // 釋放FileMaping 注意，不是Closehandle(hMap)

21. UnmapViewOfFile(lpMap);

INJECT_CODE newCode;

// 繼續目標進程的運行

第五步：用ResumeThread運行目標進程。

[cpp] view plain copy print?

1. ResumeThread(m_proInfo.hThread);

ResumeThread(m_proInfo.hThread);

在監視進程中就結束了自己的任務，剩下的第6，7，8步就需要在Dll的DllMain中進行配合。

DLL中用來保存數據的結構體

[cpp] view plain copy print?

1. typedef struct

2. {

3. DWORD lpEntryPoint;

4. DWORD OldAddr;

5. DWORD OldCode[4];

6. }JMP_CODE,* LPJMP_CODE;

7. static JMP_CODE _lpCode;

typedef struct

// 在DllMain的DLL_PROCESS_ATTACH中調用InitApiSpy函數

// 在該函數中實現第6，7，8步

第六步：目標進程就運行了LoadLibrary（MyDll），實現DLL的注入。

[cpp] view plain copy print?

1. int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)

2. {

3. switch(dwReason)

4. {

5. case DLL_PROCESS_ATTACH:

6. return InitApiSpy();

7. ……

int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)

// InitApiSpy函數的實現

[cpp] view plain copy print?

1. BOOL WINAPI InitApiSpy()

2. {

3. HANDLE hMap;

4. LPSPY_MEM_SHARE lpMem;

5. DWORD dwSize;

6. BOOL rc;

7. BYTE* lpByte;

8. // 取得FileMapping的句柄

9. hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, 「MyDllMapView」);

10. if(hMap)

11. {

12. lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);

13. if(lpMem)

14. {

BOOL WINAPI InitApiSpy()

第七步：目標進程運行完LoadLibrary(MyDll)後，將原來的代碼寫回目標進程的入口。

[cpp] view plain copy print?

1. BOOL WINAPI InitApiSpy()

2. {

3. HANDLE hMap;

4. LPSPY_MEM_SHARE lpMem;

5. DWORD dwSize;

6. BOOL rc;

7. BYTE* lpByte;

8. // 取得FileMapping的句柄

9. hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, 「MyDllMapView」);

10. if(hMap)

11. {

12. lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);

13. if(lpMem)

14. {

16. // 恢複目標進程的入口代碼

17. // 得到mov eax, value代碼的地址

18. _lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));

19. _lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;

20. // 保存LoadLibrary()後面的代碼

21. memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));

22. // 恢複目標進程的入口代碼

23. rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);

24. lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);

25. UnmapViewOfFile(lpMem);

26. }

27. CloseHandle(hMap);

28. }

29. // 實現自己Dll的其他功能，如導入表的替換

30. // ……

31. // 將LoadLibrary後面的代碼寫為轉入處理程序中

32. // 指令為：mov eax, objAddress

33. // jmp eax

34. {

35. BYTE* lpMovEax;

36. DWORD* lpMovEaxValu;

37. WORD* lpJmp;

38. DWORD fNew, fOld;

39. fNew = PAGE_READWRITE;

40. lpMovEax = lpByte;

41. VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);

42. *lpMovEax = 0xB8;

43. lpMovEaxValu = (DWORD*)(lpMovEax + 1);

44. *lpMovEaxValu = (DWORD)&DoJmpEntryPoint;

45. lpJmp = (WORD*)(lpMovEax + 5);

46. *lpJmp = 0xE0FF; // (FF E0)

47. VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);

48. }

49. return TRUE;

50. }

BOOL WINAPI InitApiSpy()

[cpp] view plain copy print?

1. // 轉入處理程序

2. DWORD* lpMovEax;

3. DWORD fNew, fOld;

4. void __declspec(naked) DoJmpEntryPoint ()

5. {

6. // 恢復LoadLibrary後面的代碼

7. _gfNew = PAGE_READWRITE;

8. _glpMovEax = (DWORD*)_lpCode.OldAddr;

9. VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);

10. *_glpMovEax = _lpCode.OldCode[0];

11. *(_glpMovEax + 1) = _lpCode.OldCode[1];

12. VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);

13. //第八步：目標進程Jmp至原來的入口，繼續運行程序。

14. // 跳至目標代碼的入口

15. _asm popad

16. _asm jmp _lpCode.lpEntryPoint

17. }

// 轉入處理程序

第八步：目標進程Jmp至原來的入口，繼續運行程序。

[cpp] view plain copy print?

1. // 跳至目標代碼的入口

2. _asm popad

3. _asm jmp _lpCode.lpEntryPoint

4. }

// 跳至目標代碼的入口

這樣就實現了原來的目標，將DLL的注入放在目標進程的入口運行，實現了目標進程運行之前運行我們的注入Dll的功能。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！