VC下提前注入进程的一些方法1——远线程不带参数

前些天一直在研究Ring3层的提前注入问题。所谓提前注入，就是在程序代码逻辑还没执行前就注入，这样做一般用于Hook API。（转载请指明出处）自己写了个demo，在此记下。

我的demo使用了两种注入方式：1 远线程； 2 修改代码入口点。

先说下我代码风格，因为要处理很多异常逻辑，我比较喜欢do{}while(0);这样的结构，一旦出错，就break出来。于是下面代码中可能会出现“莫名其妙”的break，再次说明下，那不是语法错误，因为我只是将部分代码提出来。

1 远线程

在处理远线程注入问题时，往往会遇到两种情况：1 执行注入的进程不需要传信息给被注入进程 ；2 执行注入的进程需要传信息给被注入进程。

1.1 执行注入的进程不需要传信息给被注入进程

最简单的方案就是不需要传信息给被注入进程。实现的相关原理就是使用远线程执行LoadLibrary函数，Load我们的注入DLL。DLL在载入过程或者其他会被执行到的地方执行相关逻辑（如Hook API）。根据需要，可以考虑在远线程执行完毕后，再使用远线程把被注入进程加载的DLL卸载掉。

首先说LoadLibrary ，这个函数只有一个参数，需要传递Load的DLL路径。那么什么地方保存这个参数呢？于是我们应该找一个注入进程可以访问（因为我们要写入这个数据），被注入进程也可以访问的路径（因为他们要读取）。我们可以考虑申请一个系统全局的空间来保存这个数据，也可以采用非常常见的方案——申请被注入进程的内存空间。我采用的是后者。

        void *pBufferRemote = NULL;DWORD dwMemSize =  ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);HANDLE pRemoteLoadLibraryThread = NULL;BOOL bRun = TRUR;do {pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );if ( NULL == pBufferRemote ) {break;}if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {break;}
……

dwMemSize目前保存的是DLL路径的长度（in bytes）。pBufferRemote指向被注入进程申请的内存块首地址。hProcess是被注入进程的句柄。我们使用VirtualAllocEx在被注入进程中申请一块内存，注意这块内存是PAGE_READWRITE，因为我们要读写（不用执行）这块内存。当你这儿写成PAGE_EXECUTE_READWRITE也没啥问题。在申请空间成功后，使用WriteProcessMemory向刚申请的空间中写入DLL的路径。这儿说一下DLL路径问题，因为Windows在寻找路径的问题上存在一定策略。如果采用的相对路径，windows会优先在本进程所在的目录下寻找这个文件，最后回去到系统相关文件夹下去找。但是它肯定不会全盘去搜索这个文件的。于是我们这儿要写入被注入进程的是DLL的绝对路径，因为我们这个路径被访问的进程（被注入的进程）是谁可能我们自己都不知道，其所在的路径和我们进程路径之间的关系更不知道，化繁为简，于是这儿应该用绝对路径。

DLL地址已经写好了，我们就要让远线程去Load这个地址所指向的DLL。我们Load DLL文件的函数是LoadLibrary，这个函数是Kernel32.dll中的导出函数。像Kernel32.dll、NtDll.dll等这些系统关键DLL是被映射到系统的0x7FFFFFFF~0xFFFFFFFF（32位系统）地址空间，说到这里不得不介绍windows系统的内存管理问题，32位系统下进程内存地址上限是4G，而程序自身只能在低2G内，高2G是系统文件的映射。而且一般情况下各个程序加载LoadLibaray所在的kernel32.DLL的基地址是一样的，于是我们可以直接指定它的值。这个特性将方便我们执行远线程，否则我们就得编写ShellCode去执行我们的逻辑了（下节会介绍）。

do {typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;if ( NULL == pfnLoadLibraryAddr ) {break;}pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );if ( NULL == pRemoteLoadLibraryThread ) {break;}
……

typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);这个用于定义函数指针，其对象指向LoadLibraryW（指向A版也可以，但是之前写入的DLL路径也要是A版的）。之后CreateRemoteThread将在被注入进程中创建一个线程会去调用LoadLibrary，我们的DLL就被载入了，可以为所欲为了。哈哈~

如果想尽量抹掉我们注入的一些痕迹，我们可以把这个逻辑完善些——从被注入进程中卸载远线程载入的DLL。我们要卸载这个DLL，我们就得很耐心的等，等它执行完了。

if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {// 远线程出问题了，关闭进程::TerminateProcess( hProcess, 0 );bRun = FALSE;break;}

因为我不急，所以我使用INFINITE等到底。此处的break是跳出这段代码之外的do{}while(0);*（以后不说明了）。
        终于等到远线程执行完毕，那么我们就开始FreeLibrary吧。别急！FreeLibrary有个参数，是要被卸载的DLL的句柄。这下犯难了。其实没关系，有一个函数GetExitCodeThread。我之前一直没有重视过这个函数，但是这个函数在此场景下发挥了重要作用。我们远线程执行的函数是LoadLibrary，这个函数的返回值是我们加载的DLL的句柄，于是看到GetExitCodeThread这个函数的字面意思，应该就可以想到这个函数应该可以获得我们远线程加载的DLL的句柄，实际也是如此。

// 获取加载模块的句柄HMODULE hLibModule = 0;// LoadLibrary的返回值就是这个句柄，所以GetExitCodeThread返回的就是这个句柄if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {break;}

现在不要高兴太早，因为有个疑虑。远线程是在被注入进程中执行的，那么远线程Load的DLL文件的文件句柄应该在被注入进程的地址空间中，我们在注入进程中获得它也不能操作啊？是的，比如我此时调试时，获得的hLibModule = 0x10000000。其实这也不是问题，我们在我们进程中不对这个值做什么操作，我们只是获取到它，然后再把它塞回到被注入进程中，让FreeLibrary远线程在被注入进程中去操作它。

// 获取FreeLibrary函数地址LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;if ( NULL  == pfnFreeLibraryAddr ) {break;}// 远线程卸载DLLHANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );

之后是等待FreeLibrary远线程结束和判断其返回值，这儿不再赘述。但是有一个非常关键的操作——恢复主线程（ResumeThread( hThread );）。我想很多做这块的人都发现过，在xp中以挂起方式创建的进程，在被执行完远线程并线程退出后，恢复主线程会导致主进程退出。我也找过相关原因，也没找到足够的理论支持，只是找到两个方法：让远线程一直活着；或者远线程做完事后激发一个事件A并等待另一个事件B，注入进程等到A事件后恢复主线程，主线程执行一段时间后注入进程激发B事件，通知远线程结束。之前的一个方案简单，当然像我们做技术的，总是不能满足于简单。于是我探索了下后一种方案，后一种方案引入一个问题：事件是什么样的？全局命名的事件？如果是全局命名的也太简单了，不讨论。没有名字的？是的，就是使用没有名字的非全局事件。于是这儿又遇到一个问题：如何将这个句柄给远线程呢？现在抛出这个问题，下节我们会讲到使用ShellCode加载我们的DLL，调用DLL中的导出函数并传入参数。最后贴一下之上的完整代码

// 不传参数过去，并且会卸载DLLBOOL HookProcessByCreateRemoteThread( HANDLE hProcess, HANDLE hThread, LPCWSTR lpDllPath ){if ( NULL == hProcess || NULL == hThread || NULL == lpDllPath ) {return FALSE;}BOOL bSuc = FALSE;void *pBufferRemote = NULL;DWORD dwMemSize =  ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);HANDLE pRemoteLoadLibraryThread = NULL;BOOL bRun = TRUE;do {pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );if ( NULL == pBufferRemote ) {break;}if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {break;}do {LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;if ( NULL == pfnLoadLibraryAddr ) {break;}pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );if ( NULL == pRemoteLoadLibraryThread ) {break;}if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {// 远线程出问题了，关闭进程::TerminateProcess( hProcess, 0 );bRun = FALSE;break;}// 获取加载模块的句柄HMODULE hLibModule = 0;// LoadLibrary的返回值就是这个句柄，所以GetExitCodeThread返回的就是这个句柄if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {break;}// 获取FreeLibrary函数地址LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;if ( NULL  == pfnFreeLibraryAddr ) {break;}// 远线程卸载DLLHANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );do {if ( NULL == pRemoteFreeLibraryThread ) {break;}if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteFreeLibraryThread, INFINITE ) ) {break;}else {// 查看卸载DLL结果if ( FALSE == GetExitCodeThread( pRemoteFreeLibraryThread, (LPDWORD)&bSuc ) ) {break;}}} while (0);if ( NULL != pRemoteFreeLibraryThread ) {CloseHandle( pRemoteFreeLibraryThread );pRemoteFreeLibraryThread = NULL;}}while (0);if ( NULL != pRemoteLoadLibraryThread ) {CloseHandle( pRemoteLoadLibraryThread );pRemoteLoadLibraryThread = NULL;}}while(0);if ( bRun ) {ResumeThread( hThread );}return bSuc;}

（转载请指明出处）