利用CreateProcess實現程序未啓動前的監視，並注入DLL！

一、DLL注入技術的用途

DLL注入技術的用途是很廣泛的，這主要體現在：

1、假如你要操縱的對象涉及的數據不在進程內；

2、你想對目標進程中的函數進行攔截(甚至API函數，嘿嘿，由此編寫個攔截timeGettime的過程，變速齒輪不就出來了麼？改天我試試)，比如對它所屬窗口進行子類化。

3、你想編寫一些函數用於增強或增加目標進程功能，比如可以給目標進程的某個窗口插入個消息循環增加其響應能力。（Mfc Windows程序設計稱之爲消息泵）。

4、隱藏自己的程序，很多惡意程序都是這樣做的，即使你將惡意程序的進程結束掉也毫無意義了，因爲它自己已經插入到很多進程中去了，唯一有效的辦法只有註銷windows.。如果你是個愛搞破壞的人就更應該掌握該技術了，不但可以利用該技術實現隱藏自己的進程，還可以破壞某個目標進程。因爲將破壞代碼插入到目標進程進行破壞的話簡直易如反掌。不信試試？:(

二、實現DLL注入的另一種方法

1、將DLL注入進程技術在實現Api函數的監視程序中不可缺少的一項工作。其中最常見的就是用SetWindowsHookEx函數實現了。不過，該方法的缺點是被監視的目標進程必須有窗口，這樣，SetWindowsHookEx才能將DLL注入目標進程中。而且，目標程序已經運行了，那麼，在窗口創建之前的Api函數就不能被Hook了。
2、另外一種方法用Debug方案，就可以實現在程序創建時監視所有的Api了，缺點是必須是目標進程的Debug源，在監視程序終了時，目標進程會無條件終了。最大的缺點就是無法調試注入的DLL。
3、還有其他多種方案也可以實現DLL的注入，在《Windows核心編程》一書中就介紹了8－9種，其中有一種採用CreateProcess的方法，實現起來比較複雜，但沒有上面幾種方法的侷限性。且可以用其他工具（VC等）調試注入的DLL。下面進行介紹。
原理如下：
1）． 用CreateProcess（CREATE_SUSPENDED）啓動目標進程。
2）． 找到目標進程的入口，用ImageHlp中的函數可以實現。
3）． 將目標進程入口的代碼保存起來。
4）． 在目標進程的入口寫入LoadLibrary（MyDll）實現Dll的注入。
5）． 用ResumeThread運行目標進程。
6）． 目標進程就運行了LoadLibrary（MyDll），實現DLL的注入。
7）． 目標進程運行完LoadLibrary(MyDll)後，將原來的代碼寫回目標進程的入口。
8）． 目標進程Jmp至原來的入口，繼續運行程序。
從原理上可以看出，DLL的注入在目標進程的開始就運行了，而且不是用Debug的方案，這樣，就沒有上面方案的侷限性了。該方案的關鍵在6，7，8三步，實現方法需要監視進程和DLL合作。下面，結合代碼進行分析。
在監視進程中，創建FileMapping，用來保存目標進程的入口代碼，同時保證DLL中可以訪問。在第7步實現將原目標代碼寫回目標進程的入口。

// 監視程序和DLL共用的結構體

#pragma pack (push ,1)  // 保證下面的結構體採用BYTE對齊（必須）

typedef struct

{

    BYTE int_PUSHAD;    // pushad 0x60

    BYTE int_PUSH;      // push &szDLL 0x68

    DWORD push_Value;   // &szDLL = "ApiSpy.dll"的path

    BYTE int_MOVEAX;    // move eax &LoadLibrary 0xB8

    DWORD eax_Value;    // &LoadLibrary

    WORD call_eax;      // call eax 0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll");

    BYTE jmp_MOVEAX;    // move eax &ReplaceOldCode 0xB8

    DWORD jmp_Value;    // JMP的參數

    WORD jmp_eax;       // jmp eax 0xE0FF(FF E0) jmp ReplaceOldCode;

    char szDLL[MAX_PATH]; // "ApiSpy.dll"的FullPath

}INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;

#pragma pack (pop , 1)

上面結構體的代碼爲彙編代碼，對應的彙編爲：

pushad

push szDll

mov eax, &LoadLibraryA

call eax                                // 實現調用LoadLibrary(szDll)的代碼

mov eax, oldentry

jmp eax                                 // 實現在LoadLibrary運行完後, 跳至目標進程的入口繼續運行

// FileMaping的結構體

typedef struct

{

    LPBYTE lpEntryPoint;                // 目標進程的入口地址

    BYTE oldcode[sizeof(INJECT_CODE)];  // 目標進程的代碼保存

}SPY_MEM_SHARE, * LPSPY_MEM_SHARE;

準備工作：
第一步：用CreateProcess（CREATE_SUSPENDED）啓動目標進程。

CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED

0, NULL, &stInfo,

&m_proInfo) ;

用CreateProcess啓動一個暫停的目標進程；
找到目標進程的入口點，函數如下
第二步：找到目標進程的入口，用ImageHlp中的函數可以實現。

pEntryPoint = GetExeEntryPoint(szRunFile);

LPBYTE GetExeEntryPoint(char *filename)

{

    PIMAGE_NT_HEADERS pNTHeader;

    DWORD pEntryPoint;

    PLOADED_IMAGE pImage;

    pImage = ImageLoad(filename, NULL);

    if(pImage == NULL)

        return NULL;

    pNTHeader = pImage->FileHeader;

    pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase;

    ImageUnload(pImage);

    return (LPBYTE)pEntryPoint;

}

// 創建FileMapping

hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,

PAGE_READWRITE, 0, sizeof(SPY_MEM_SHARE), “MyDllMapView”);

// 保存目標進程的代碼
第三步：將目標進程入口的代碼保存起來。

LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS,0, 0, 0);

ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,&lpMap->oldcode, sizeof(INJECT_CODE),&cBytesMoved);

lpMap->lpEntryPoint = pEntryPoint;

// 第四步：在目標進程的入口寫入LoadLibrary（MyDll）實現Dll的注入。
// 準備注入DLL的代碼

INJECT_CODE newCode;

// 寫入MyDll―――用全路徑

lstrcpy(newCode.szDLL, szMyDll);

// 準備硬代碼（彙編代碼）

newCode.int_PUSHAD = 0x60;

newCode.int_PUSH = 0x68;

newCode.int_MOVEAX = 0xB8;

newCode.call_eax = 0xD0FF;

newCode.jmp_MOVEAX = 0xB8;

newCode.jmp_eax = 0xE0FF;

newCode.eax_Value = (DWORD)＆LoadLibrary;

newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));

// 將硬代碼寫入目標進程的入口

// 修改內存屬性

DWORD dwNewFlg, dwOldFlg;

dwNewFlg = PAGE_READWRITE;

VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);

WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,&newCode, sizeof(newCode), NULL);//&dwWrited);

VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);

// 釋放FileMaping 注意，不是Closehandle(hMap)

UnmapViewOfFile(lpMap);

// 繼續目標進程的運行
第五步：用ResumeThread運行目標進程。

ResumeThread(m_proInfo.hThread);

在監視進程中就結束了自己的任務，剩下的第6，7，8步就需要在Dll的DllMain中進行配合。
DLL中用來保存數據的結構體

typedef struct

{

    DWORD lpEntryPoint;

    DWORD OldAddr;

    DWORD OldCode[4];

}JMP_CODE,* LPJMP_CODE;

static JMP_CODE _lpCode;

// 在DllMain的DLL_PROCESS_ATTACH中調用InitApiSpy函數
// 在該函數中實現第6，7，8步
第六步：目標進程就運行了LoadLibrary（MyDll），實現DLL的注入。

int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)

{

switch(dwReason)

{

case DLL_PROCESS_ATTACH:

    return InitApiSpy();

    ……

// InitApiSpy函數的實現

BOOL WINAPI InitApiSpy()

{

    HANDLE hMap;

    LPSPY_MEM_SHARE lpMem;

    DWORD dwSize;

    BOOL rc;

    BYTE* lpByte;

    // 取得FileMapping的句柄

    hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);

    if(hMap)

    {

        lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);

        if(lpMem)

        {

第七步：目標進程運行完LoadLibrary(MyDll)後，將原來的代碼寫回目標進程的入口。

BOOL WINAPI InitApiSpy()

{

    HANDLE hMap;

    LPSPY_MEM_SHARE lpMem;

    DWORD dwSize;

    BOOL rc;

    BYTE* lpByte;

    // 取得FileMapping的句柄

    hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);

    if(hMap)

    {

        lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);

        if(lpMem)

        {


            // 恢復目標進程的入口代碼

            // 得到mov eax, value代碼的地址

            _lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));

            _lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;

            // 保存LoadLibrary()後面的代碼

            memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));

            // 恢復目標進程的入口代碼

            rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);

            lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);

            UnmapViewOfFile(lpMem);

        }

        CloseHandle(hMap);

    }

    // 實現自己Dll的其他功能，如導入表的替換

    // ……

    // 將LoadLibrary後面的代碼寫爲轉入處理程序中

    // 指令爲：mov eax, objAddress

    // jmp eax

    {

        BYTE* lpMovEax;

        DWORD* lpMovEaxValu;

        WORD* lpJmp;

        DWORD fNew, fOld;

        fNew = PAGE_READWRITE;

        lpMovEax = lpByte;

        VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);

        *lpMovEax = 0xB8;

        lpMovEaxValu = (DWORD*)(lpMovEax + 1);

        *lpMovEaxValu = (DWORD)&DoJmpEntryPoint;

        lpJmp = (WORD*)(lpMovEax + 5);

        *lpJmp = 0xE0FF; // (FF E0)

        VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);

    }

    return TRUE;

}

 

// 轉入處理程序

DWORD* lpMovEax;

DWORD fNew, fOld;

void __declspec(naked) DoJmpEntryPoint ()

{

    // 恢復LoadLibrary後面的代碼

    _gfNew = PAGE_READWRITE;

    _glpMovEax = (DWORD*)_lpCode.OldAddr;

    VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);

    *_glpMovEax = _lpCode.OldCode[0];

    *(_glpMovEax + 1) = _lpCode.OldCode[1];

    VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);

//第八步：目標進程Jmp至原來的入口，繼續運行程序。

// 跳至目標代碼的入口

_asm popad

_asm jmp _lpCode.lpEntryPoint

}

 

第八步：目標進程Jmp至原來的入口，繼續運行程序。

// 跳至目標代碼的入口

_asm popad

_asm jmp _lpCode.lpEntryPoint

}

這樣就實現了原來的目標，將DLL的注入放在目標進程的入口運行，實現了目標進程運行之前運行我們的注入Dll的功能。