[转载]Dll注入技术之劫持进程创建注入
转自:黑客反病毒
劫持进程创建注入原理是利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread()函数恢复进程。
1.创建挂起的进程 下面是创建一个挂起的计算器程序进程的主要代码:
STARTUPINFO si = {0}; si.cb = sizeof si; si.dwFlags = STARTF_USESHOWWINDOW; si.wShowWindow = SW_SHOW; PROCESS_INFORMATION pi; TCHAR cmdline[MAXBYTE] =_T("calc.exe"); BOOL bRet = ::CreateProcess( NULL, cmdline, NULL, NULL, FALSE, CREATE_SUSPENDED, //需要注意的参数 NULL, NULL, &si, &pi);
2.向挂起的进程中进行远程线程注入DLL 关于远程线程注入在这里就不重复讲述了,但是这里需要注意一个问题,那就是CreateRemoteThread()中第6个参数,需要设为CREATE_SUSPENDED,主要参数如下:
//4. 创建远程线程 m_hInjecthread = ::CreateRemoteThread(hProcess, //远程进程句柄 NULL, //安全属性 0, //栈大小 (LPTHREAD_START_ROUTINE)LoadLibrary, //进程处理函数 pszDllName, //传入参数 CREATE_SUSPENDED, //默认创建后的状态 NULL); //线程ID
3.激活进程中的线程 这里主要用的是ResumeThread()的这个API,需要注意的是先激活主要线程,再激活注入的线程。
劫持进程创建注入其实就是远程线程注入的前期加强版,他可以在进程启动前进行注入,由于进程的线程没有启动,这样就可以躲过待注入进程的检测,提高的注入的成功率。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。