进程注入

今天要完成一个项内容，运行另一个应用程序abc.exe，实现它的父进程是explorer.exe。

最开始的思路是获得explorer.exe的句柄，用ShellExecute启动abc.exe。但是用explorer.exe的句柄创建的进程的父进程依然是调用和进程，而不是传入句柄的进程。

看来直接的不行，只能用间接的了。把运行abc.exe的代码段写到explorer.exe的内存里面去。然后让explorer来运行这段代码。

static  DWORD CALLBACK ThreadProc() ... {
    ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW);

    return TRUE;
}

但是现在就出现问题了，ShellExecute在shell32模块里，还需要LoadLibrary和GetProcAddress。同时它也 用了两个字符串常量，这些字串会出现在本进程的内存中，在explorer中运行代码就会出错，系统把它关掉。所以改用了WinExec来代替 ShellExecute，同时要把需要的字串和函数指针都写到explorer的内存区里。

typedef UINT (WINAPI  *  WINEXEC)(LPCSTR,UINT);

typedef  struct  tagTHREADDATA ... {
    TCHAR            fileName[20];
    WINEXEC            pWinexec;
} THREADDATA,  * LPTHREADDATA;

static  DWORD CALLBACK ThreadProc(LPTHREADDATA pData) ... {
    pData->pWinexec(pData->fileName,SW_SHOW);
    return TRUE;
}

获得explorer进程PID的方法

DWORD getExplorerPID() ... {
    HWND startButtonHandle;
    DWORD processID;
    startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
    ::GetWindowThreadProcessId( startButtonHandle, &processID );
    return processID;
}

注入内存的过程：

user32Handle  =  ::GetModuleHandle(TEXT( " kernel32 " ));
// 得到kernel32模块句柄
processHandle  =  ::OpenProcess(PROCESS_CREATE_THREAD  |  PROCESS_QUERY_INFORMATION  |  PROCESS_VM_OPERATION  |  PROCESS_VM_WRITE  |  PROCESS_VM_READ,FALSE,getExplorerPID());
// 用explorer的PID来打开进程，并得到创建线程和写的权限。
dataAddr  =  ::VirtualAllocEx(processHandle, 0 , sizeof (THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
// 在explorer的内存内里申请一块内存来存所用的数据
THREADDATA data  =   ... {TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),} ;
WriteProcessMemory(processHandle,dataAddr, & data, sizeof (THREADDATA), & byteWrited);
// 把数据写到申请的内存中
codeAddr  =  ::VirtualAllocEx(processHandle, 0 ,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
// 申请代码的内存区
WriteProcessMemory(processHandle,codeAddr, & ThreadProc,sizeOfThreadProc, & byteWrited);
// 把代码写进去，这时我们己经把我们要用的代码和数据都准备好了。
threadHandle  =  CreateRemoteThread(processHandle,NULL, 0 , LPTHREAD_START_ROUTINE)codeAddr,dataAddr, 0 ,(LPDWORD)threadID);
// 在explorer中创建一个线程，来执行启动abc.exe的代码。所需的数据都己经在explorer的内存块中，所以不会出问题。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr, 0 ,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr, 0 ,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
// 等待执行完毕，释放内存，关闭句柄。

这就完成了代码的注入与执行。