代码注入的三种方法 钩子(HOOK)

代码注入的三种方法 钩子(HOOK) （源代码下载）

 

详细说明：

如何将代码注入不同的进程地址空间，然后在该进程的上下文中执行注入的代码。

 

目录

• Windows 钩子
• CreateRemoteThread 和 LoadLibrary 技术
  ——进程间通信
• CreateRemoteThread 和 WriteProcessMemory 技术
  ——如何用该技术子类化远程控件
  ——何时使用 CreateRemoteThread 和 WriteProcessMemory 技术
• 结束语
• 附录A
• 附录B
• 附录C
• 附录D
• 附录E
• 附录F
• 参考资料

简介

　　本文将讨论如何把代码注入不同的进程地址空间，然后在该进程的上下文中执行注入的代码。 我们在网上可以查到一些窗口/密码侦测的应用例子，网上的这些程序大多都依赖 Windows 钩子技术来实现。本文将讨论除了使用 Windows 钩子技术以外的其它技术来实现这个功能

 

 

部分代码：

 

HANDLE hThread;

char    szLibPath[_MAX_PATH];  // “LibSpy.dll”模块的名称 (包括全路径);

void*   pLibRemote;   // 远程进程中的地址，szLibPath 将被拷贝到此处;

DWORD   hLibModule;   // 要加载的模块的基地址（HMODULE）

HMODULE hKernel32 = ::GetModuleHandle("Kernel32");

// 初始化szLibPath

//...

// 1. 在远程进程中为szLibPath 分配内存

// 2. 将szLibPath 写入分配的内存

pLibRemote = ::VirtualAllocEx( hProcess, NULL, sizeof(szLibPath),

                               MEM_COMMIT, PAGE_READWRITE );

::WriteProcessMemory( hProcess, pLibRemote, (void*)szLibPath,

                      sizeof(szLibPath), NULL );

// 将"LibSpy.dll" 加载到远程进程（使用CreateRemoteThread 和 LoadLibrary）

hThread = ::CreateRemoteThread( hProcess, NULL, 0,

            (LPTHREAD_START_ROUTINE) ::GetProcAddress( hKernel32,

                                       "LoadLibraryA" ),

             pLibRemote, 0, NULL );

::WaitForSingleObject( hThread, INFINITE );

// 获取所加载的模块的句柄

::GetExitCodeThread( hThread, &hLibModule );

// 清除

::CloseHandle( hThread );

::VirtualFreeEx( hProcess, pLibRemote, sizeof(szLibPath), MEM_RELEASE );            

　 假设我们实际想要注入的代码——SendMessage ——被放在DllMain (DLL_PROCESS_ATTACH)中，现在它已经被执行。那么现在应该从目标进程中将DLL 卸载：

// 从目标进程中卸载"LibSpy.dll"  (使用 CreateRemoteThread 和 FreeLibrary)

hThread = ::CreateRemoteThread( hProcess, NULL, 0,

            (LPTHREAD_START_ROUTINE) ::GetProcAddress( hKernel32,

                                       "FreeLibrary" ),

            (void*)hLibModule, 0, NULL );

::WaitForSingleObject( hThread, INFINITE );

// 清除

::CloseHandle( hThread );             

进程间通信