轉自:黑客反病毒
依賴可信進程注入原理是利用Windows 系統中Services.exe這個權限較高的進程,首先將a.dll遠線程注入到Services.exe中,再利用a.dll將b.dll遠線程注入到待注入進程中。具體過程如下圖所示:
這裏提供一個小技巧,當注入到Services.exe裏的DLL時,想在做完事情後悄無聲息的將自己釋放掉,在Windows 中有這樣的一個API函數FreeLibraryAndExitThread(),它可以把自己卸載掉並且退出線程,具體代碼如下:
DWORD ThreadProc(CMfcServicesInjectDLLApp* pThis)
{
//切換mfc模塊
AFX_MANAGE_STATE(AfxGetStaticModuleState());
pThis->m_InjectObj.Attach(
_T("calc.exe"),
_T("D:\\MyDll\\RelyServicesInject\\Debug\\MfcExeInjectDLL.dll"));
//在線程中卸載掉自己並且退出線程
FreeLibraryAndExitThread(pThis->m_hInstance,0);
return 0;
}
// CMfcServicesInjectDLLApp 初始化
BOOL CMfcServicesInjectDLLApp::InitInstance()
{
DWORD dwThreadId;
m_hThread = ::CreateThread(NULL, NULL,
(LPTHREAD_START_ROUTINE)ThreadProc,
this, NULL,&dwThreadId);
return TRUE;
}
依賴可信進程注入其實就是遠線程注入的增強版,它利用了系統較高權限的進程進行遠程注入,大大提高了注入的成功率,並在注入完畢後釋放掉自己,降低了被查殺的可能性。