学步园

1.       通过GetModuleHandle定位LoadLiabrary在Kernel32.dll中的虚拟地址！！（根据jerry 牛人的说法，就是kernel32.dll在任何进程中加载的位置都是一样的）

2.       提升当前进程的权限，使其权限提升为debug的权限，这样才能在目标进程中分配虚拟空间和读写虚拟空间操作。

3.       在目标进程中分配存放LoadLibrary的参数的内存。因为必须将参数写到目标进程中，才能让创建的线程访问，要不然，就会发生进程访问数据冲突，(不能垮进程访问地址)，通过函数VirtualAllocEx.

4.       在分配的地址空间中写入参数值,通过WriteProcessMemery.

5.       调用CreateRemoteThread创建远程线程！

6.       补充说明一下：提升权限用到的函数：
1)通过OpenProcess一查询权限打开自己的进程.
2)通过OpenProcessToken打开访问令牌。
3)通过LookupPrivilegeValue查询debug权限的值
4)通过AdjustPrivilegeValue来调整进程权限

7.       在写的过程中遇到了很多麻烦，其中一个问题就是，当我代码没有问题的时候，发现老师只能注入自己的线程，其他的都注入不进去，后来啄么了很久，才防线是依赖库的问题，没有吧依赖库放到一起，再者，需要注意的是，当远程线程在目标进程中运行的时候，如果你传的路径不是绝对路径，那么也会出问题，因为他要从目标进程的目录中搜索，搜索不到，在从环境变量中列出的路径搜索，所以，路径得必须谨慎。其次，是你的函数和传入的路径字符串要是同一字符集。要不让也会出问题！

8.       如果想要卸载注入的DLL，也很简单，通过注入FreeLiabray线程就OK了！！！方法同上！

代码：

//提升当前进程的权限</p> <p>BOOL CMoveCursorDlg::AdjustProcessPrivilege(DWORD dwProcessId)</p> <p>{</p> <p> HANDLE hProcess = ::OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,dwProcessId); //以查询方式打开进程</p> <p> if(hProcess == NULL)</p> <p> return FALSE;</p> <p> HANDLE hToken = NULL;</p> <p> BOOL bRet = FALSE;</p> <p> DWORD dwErr = 0;</p> <p> bRet = ::OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY ,&hToken); </p> <p> dwErr = ::GetLastError();</p> <p> if(!bRet)</p> <p> return FALSE;</p> <p> LUID luid;</p> <p> if(::LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid) == 0)//查询权限值(设置权限值)</p> <p> return FALSE; </p> <p> TOKEN_PRIVILEGES tkp;</p> <p> tkp.PrivilegeCount = 1;</p> <p> tkp.Privileges[0].Luid = luid;</p> <p> tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;</p> <p> bRet = ::AdjustTokenPrivileges(hToken,FALSE,&tkp,0,NULL,NULL); //调整权限</p> <p> if(!bRet)</p> <p> return FALSE;</p> <p> ::CloseHandle(hToken);</p> <p> ::CloseHandle(hProcess);</p> <p> return TRUE;</p> <p>9. }</p> <p>// //注入目标进程</p> <p>BOOL CMoveCursorDlg::InjectDesProcess(DWORD dwProcessId)</p> <p>{</p> <p> BOOL bRet = FALSE;</p> <p> DWORD dwCurrProcessId = ::GetCurrentProcessId();</p> <p> bRet = AdjustProcessPrivilege(dwCurrProcessId); //手动提升当前进程权限</p> <p> //打开目标进程句柄</p> <p> m_hDesProcess = ::OpenProcess(PROCESS_ALL_ACCESS,</p> <p> FALSE , dwProcessId);</p> <p> if(m_hDesProcess != NULL && bRet)</p> <p> {</p> <p> //定位LoadLibraryA在kernel32.dll中的位置</p> <p> HMODULE hModule = ::GetModuleHandle(_T("Kernel32"));</p> <p> if(hModule == NULL)</p> <p> return FALSE;</p> <p> PTHREAD_START_ROUTINE pfnLoadLibraryW = (PTHREAD_START_ROUTINE)::GetProcAddress(hModule,LPCSTR("LoadLibraryW"));</p> <p> if(pfnLoadLibraryW == NULL)</p> <p> return FALSE;</p> <p> //在远程线程中分配地址空间来存放LoadLibraryA的参数</p> <p> TCHAR szDllPath[MAX_PATH] ={0};</p> <p> _tcscpy_s(szDllPath,MAX_PATH, _T("INJDLL.dll")); //DLL路径</p> <p> DWORD dwSize = lstrlen(szDllPath) * sizeof(TCHAR) + 1;</p> <p> PCWSTR* lpAddr = (PCWSTR*)::VirtualAllocEx(m_hDesProcess , NULL, dwSize, MEM_COMMIT | MEM_RESERVE , PAGE_EXECUTE_READWRITE); </p> <p> if(lpAddr == NULL)</p> <p> return FALSE;</p> <p> //将数据写入到目标进程地址空间中去</p> <p> DWORD dwNumBytesOfWritten = 0;</p> <p> bRet = ::WriteProcessMemory(m_hDesProcess, lpAddr, (LPVOID)szDllPath ,dwSize, &dwNumBytesOfWritten); </p> <p> if(dwSize != dwNumBytesOfWritten)</p> <p> {</p> <p> ::VirtualFreeEx(m_hDesProcess,lpAddr,sizeof(szDllPath), MEM_RELEASE); //释放地址空间</p> <p> return FALSE;</p> <p> }</p> <p> if(!bRet)</p> <p> return FALSE;</p> <p> //将指定DLL注入目标进程</p> <p> DWORD dwThreadId = 0;</p> <p> HANDLE hRemoteThread = ::CreateRemoteThread(m_hDesProcess, NULL, 0, (PTHREAD_START_ROUTINE)pfnLoadLibraryW, lpAddr, 0, &dwThreadId);</p> <p> if(hRemoteThread == NULL)</p> <p> return FALSE; </p> <p> ::WaitForSingleObject(hRemoteThread,INFINITE);</p> <p> ::VirtualFreeEx(m_hDesProcess,lpAddr,sizeof(szDllPath), MEM_RELEASE); //释放地址空间</p> <p> ::CloseHandle(hRemoteThread);</p> <p> return TRUE;</p> <p> }</p> <p> else</p> <p> {</p> <p> return FALSE;</p> <p> }</p> <p>}</p> <p>

10.