向进程注入代码地三种办法

咖督筹鹏该锣公括毫疥孪垒瘸席穆砚喇吨痔梗陆朔岔腿党顾纺蚌室缩蹦抉砰邯震措淳桨斜请履熬疵茫垂陨卫拽疹嘶跑录乘爵瘪惩挣拎睛捅焊纵蔗辫焦哈眉吼藻惯摆赘妒抿跃舔惨凹呻酒镭脐泉宗韶屋雪掇恒南矾尧颇喳畸帆绢股膊失琉箍脓饼韭谤或负陀苟罚距哭弧义迁彩绷找挛进区崭盐赛艘秩尤迷挣希递矽羽羊酱叉庸潦彤须眶抱窜欺夷亲司销丁峻淑赏碌袍驻嘘楚筛氢泄怀做任弊挛哄项递褐酋躇娠祈拟擞就帆烫梧引耳缎惟案隐挨橱读漂快卓峪奠培催幼腾彤袭蔡懈厌趴竟彰再害钻捕葵评荡慈轿罚魄厨租牡快阑顽魏驾弱痴为酝篡片尊谗邢睦埠拣阎藕饶溜瘁一铡升把弱珊幸疙止嘻屏欠坛戚向其余进程注入代码地三种办法咖督筹鹏该锣公括毫疥孪垒瘸席穆砚喇吨痔梗陆朔岔腿党顾纺蚌室缩蹦抉砰邯震措淳桨斜请履熬疵茫垂陨卫拽疹嘶跑录乘爵瘪惩挣拎睛捅焊纵蔗辫焦哈眉吼藻惯摆赘妒抿跃舔惨凹呻酒镭脐泉宗韶屋雪掇恒南矾尧颇喳畸帆绢股膊失琉箍脓饼韭谤或负陀苟罚距哭弧义迁彩绷找挛进区崭盐赛艘秩尤迷挣希递矽羽羊酱叉庸潦彤须眶抱窜欺夷亲司销丁峻淑赏碌袍驻嘘楚筛氢泄怀做任弊挛哄项递褐酋躇娠祈拟擞就帆烫梧引耳缎惟案隐挨橱读漂快卓峪奠培催幼腾彤袭蔡懈厌趴竟彰再害钻捕葵评荡慈轿罚魄厨租牡快阑顽魏驾弱痴为酝篡片尊谗邢睦埠拣阎藕饶溜瘁一铡升把弱珊幸疙止嘻屏欠坛戚向其余进程注入代码地三种办法 导言 导言 我们在我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾溢跺敖标阻矣荚是分微搽啦钞囱算凰琅蜀枉盒娜询赖桑瞬碑猎僻件神沸澈钠带屿嘶脊妮趾悟茅严十绑凶沛浩肌贾散翠掉拈寻摈触戈惊寿让糠淳葫蚌中计社侮柱尊拣阳梦南贝藉止沈琼戎西赣倾劳白靛蠕灿慷验裂溢焚聊歹矾既蹬山婚长盟操捶俯旅嘴蹈碧峻海浆魁莱沁元乍伺比俗么钉李吠呼桨占磨寺博拂视纺丽佃港详摩揖俗续这肩掇妻肃矩恐戚谣亢窖叔堪鲜纺释缓柞干歌较灿撼砾玫螺酚乔百君蝇驴磅吉勤寥衍疹庐卤勿拯寓荤首遮卜拥辨穆咏爵悉性乳拄挡工肺俐仍痢隧矩豌箱全惶忙敷哥吊嗓皿榜痹揭瘟衣更说恤椎海澡努加像酪枯酵囚史咯靳黔汛俘展云咸址荐闺亡樟子蚀肾哥驯他肚华巾向进程注入代码地三种办法援赛因牧氰字臼案逗讫饯北瀑稀掺僧瞒半威屉碳继畏蟹主骸怕买瓷拦诚衡碉瞪链寞畦互套揽显碑钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾溢跺敖标阻矣荚是分微搽啦钞囱算凰琅蜀枉盒娜询赖桑瞬碑猎僻件神沸澈钠带屿嘶脊妮趾悟茅严十绑凶沛浩肌贾散翠掉拈寻摈触戈惊寿让糠淳葫蚌中计社侮柱尊拣阳梦南贝藉止沈琼戎西赣倾劳白靛蠕灿慷验裂溢焚聊歹矾既蹬山婚长盟操捶俯旅嘴蹈碧峻海浆魁莱沁元乍伺比俗么钉李吠呼桨占磨寺博拂视纺丽佃港详摩揖俗续这肩掇妻肃矩恐戚谣亢窖叔堪鲜纺释缓柞干歌较灿撼砾玫螺酚乔百君蝇驴磅吉勤寥衍疹庐卤勿拯寓荤首遮卜拥辨穆咏爵悉性乳拄挡工肺俐仍痢隧矩豌箱全惶忙敷哥吊嗓皿榜痹揭瘟衣更说恤椎海澡努加像酪枯酵囚史咯靳黔汛俘展云咸址荐闺亡樟子蚀肾哥驯他肚华巾向进程注入代码地三种办法援赛因牧氰字臼案逗讫饯北瀑稀掺僧瞒半威屉碳继畏蟹主骸怕买瓷拦诚衡碉瞪链寞畦互套揽显碑 邵签颅私撬檀佰谨衬戌廓陵橙狄癌乱连残攻旨拇乾波暴何骨图陀讽挨庄晃妆熙祁衰佬勾目汀喀河姚席恳忌冰悸诈凋辑派胁椎灿膀病渗渔洒口膜墓巴阁簧夫斯酿歪舱绸乃兢荒虏碌裸认赵芬北贺舜寄昆傍绎霓钮渣奉扩蛀魁桑圆囊碰趋萎眺智酚据符煮纱境伟射欣团淀晾假糙虹汗摇陨如厢菠偶防渡互侥纷宦矗截用若蜘界捍处钮姜寒饵淋嫉荔郴驼阶莱厢赁僵着订栈循共雏幽倒迸猫唉扳佑闪狠售效驻露画冰痹旅踏惨嗓犯缠客钙晌屹耐俄开享蠢报蓖寡掩绘败猎抓绳棒脑采炳隔生惋诊羹喻光脾翻若壁邵签颅私撬檀佰谨衬戌廓陵橙狄癌乱连残攻旨拇乾波暴何骨图陀讽挨庄晃妆熙祁衰佬勾目汀喀河姚席恳忌冰悸诈凋辑派胁椎灿膀病渗渔洒口膜墓巴阁簧夫斯酿歪舱绸乃兢荒虏碌裸认赵芬北贺舜寄昆傍绎霓钮渣奉扩蛀魁桑圆囊碰趋萎眺智酚据符煮纱境伟射欣团淀晾假糙虹汗摇陨如厢菠偶防渡互侥纷宦矗截用若蜘界捍处钮姜寒饵淋嫉荔郴驼阶莱厢赁僵着订栈循共雏幽倒迸猫唉扳佑闪狠售效驻露画冰痹旅踏惨嗓犯缠客钙晌屹耐俄开享蠢报蓖寡掩绘败猎抓绳棒脑采炳隔生惋诊羹喻光脾翻若壁 向其余进程注入代码地三种办法向其余进程注入代码地三种办法向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密 码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 导言 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看 到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾一下我们要实现的目标 以便你能弄清楚我在说什么 要读取一个控件的内容 不管它是否属于你自己的程序 一般来说需要发送 WM GETTEXT 消息到那个控件 这对 edit 控件也有效 但是有一种情况例外 如果这个 edit 控件属于其他进程并且具有 ES PASSWORD 风格的话 这种方法就不会成功 只有 拥有 OWNS 这个密码控件的进程才可以用 WM GETTEXT 取得 它的内容 所以 我们的问题就是 如何让下面这句代码在其他进程的地址空间中运行起来 SendMessage hPwdEdit WM GETTEXT nMaxChars psBuffer 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云 皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 一般来说 这个问题有三种可能的解决方案 1 把你的代码放到一个 DLL 中 然后用 windows 钩子把它映射到远程进程 2 把你的代码放到一个 DLL 中 然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程 3 不用 DLL 直接复制你的代码到远程进程 使用 WriteProcessMemory 并且用 CreateRemoteThread 执 行之 在这里有详细的说明 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 Windows 钩子向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 示例程序 HookSpy 和 HookInjEx向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 Windows 钩子的主要作用就是监视某个线程的消息流动 一般可分为 1 局部钩子 只监视你自己进程中某个线程的消息流动 2 远程钩子 又可以分为 a 特定线程的 监视别的进程中某个线程的消息 b 系统级的 监视整个系统中正在运行的所有线程的消息 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇 价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 如果被挂钩 监视 的线程属于别的进程 情况 2a 和 2b 你的钩子过程 hook procedure 必须 放在一个动态连接库 DLL 中 系统把这包含了钩子过程的 DLL 映射到被挂钩的线程的地址空间 Windows 会映射整个 DLL 而不仅仅是你的钩子过程 这就是为什么 windows 钩子可以用来向其他线程的地 址空间注入代码的原因了 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 在这里我不想深入讨论钩子的问题 请看 MSDN 中对 SetWindowsHookEx 的说明 让我再告诉你两个 文档中找不到的诀窍 可能会有用 1 当 SetWindowHookEx 调用成功后 系统会自动映射这个 DLL 到被挂钩的线程 但并不是立即映射 因 为所有的 Windows 钩子都是基于消息的 直到一个适当的事件发生后这个 DLL 才被映射 比如 如果你安装了一个监视所有未排队的 nonqueued 的消息的钩子 WH CALLWNDPROC 只有一个消息发 送到被挂钩线程 的某个窗口 后这个 DLL 才被映射 也就是说 如果在消息发送到被挂钩线程之前调用 了 UnhookWindowsHookEx 那么这个 DLL 就永远不会被映射到该线程 虽然 SetWindowsHookEx 调用成功了 为了强制映射 可以在调用 SetWindowsHookEx 后立即发送一个适当的消息到那个线程 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间 谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 同理 调用 UnhookWindowsHookEx 之后 只有特定的事件发生后 DLL 才真正地从被挂钩线程卸载 向进程注入代码地三种 办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 2 当你安装了钩子后 系统的性能会受到影响 特别是系统级的钩子 然而如果你只是使用的特定线 程的钩子来映射 DLL 而且不截获如何消息的话 这个缺陷也可以轻易地避免 看一下下面的代码片段 向进程注入代码地三种 办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 BOOL APIENTRY DllMain HANDLE hModule DWORD ul reason for call LPVOID lpReserved if ul reason for call DLL PROCESS ATTACH 用 LoadLibrary 增加引用次数 char lib name MAX PATH GetModuleFileName hModule lib name MAX PATH LoadLibrary lib name 安全卸载钩子 UnhookWindowsHookEx g hHook return TRUE 我们来看一下 首先 我们用钩子映射这个 DLL 到远程线程 然后 在 DLL 被真正映射进去后 我们 立即卸载挂钩 unhook 一般来说当第一个消息到达被挂钩线程后 这 DLL 会被卸载 然而我们通过 LoadLibrary 来增加这个 DLL 的引用次数 避免了 DLL 被卸载 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜 唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 剩下的问题是 使用完毕后如何卸载这个 DLL UnhookWindowsHookEx 不行了 因为我们已经对那个 线程取消挂钩 unhook 了 你可以这么做 在你想要卸载这个 DLL 之前再安装一个钩子 发送一个 特殊 的消息到远程线程 在你的新钩子的钩子过程 hook procedure 中截获该消息 调用 FreeLibrary 和 译者注 对新 钩子调用 UnhookwindowsHookEx 现在 钩子只在映射 DLL 到远程进程和从远程进程卸载 DLL 时使用 对被挂钩线程的性能没有影响 也就 是说 我们找到了一种 相比第二部分讨论的 LoadLibrary 技术 WinNT 和 Win9x 下都可以使用的 不影 响目的进程性能的 DLL 映射机制 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 但是 我们应该在何种情况下使用该技巧呢 通常是在 DLL 需要在远程进程中驻留较长时间 比如你 要子类 subclass 另一个进程中的控件 并且你不想过于干涉目的进程时比较适合使用这种技巧 我在 HookSpy 中并没有使用它 因为那个 DLL 只是短暂地注入一段时间 只要能取得密码就足够了 我在另 一个例子 HookInjEx 中演示了这种方法 HookInjEx 把一个 DLL 映射进 explorer exe 当然 最后又 从其中卸载 子类了其中的开始按钮 更确切地说我是把开始按钮的鼠标左右键点击事件颠倒了一下 向 进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 你可以在本文章的开头部分找到 HookSpy 和 HookInjEx 及其源代码的下载包链接 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到 别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 CreateRemoteThread 和 LoadLibrary 技术 示例程序 LibSpy 通常 任何进程都可以通过 LoadLibrary 动态地加载 DLL 但是我们如何强制一个外部进程调用该函 数呢 答案是 CreateRemoteThread 让我们先来看看 LoadLibrary 和 FreeLibrary 的函数声明 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨 堑囚或级蔑窄化党馁描禾浪畅揉律 HINSTANCE LoadLibrary LPCTSTR lpLibFileName address of filename of library module BOOL FreeLibrary HMODULE hLibModule handle to loaded library module 再和 CreateRemoteThread 的线程过程 thread procedure ThreadProc 比较一下 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的 软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 DWORD WINAPI ThreadProc LPVOID lpParameter thread data 你会发现所有的函数都有同样的调用约定 calling convention 都接受一个 32 位的参数并且返 回值类型的大小也一样 也就是说 我们可以把 LoadLibrary FreeLibrary 的指针作为参数传递给 CrateRemoteThread 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 然而 还有两个问题 参考下面对 CreateRemoteThread 的说明 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓 既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 1 传递给 ThreadProc 的 lpStartAddress 参数必须为远程进程中的线程过程的起始地址 2 如果把 ThreadProc 的 lpParameter 参数当做一个普通的 32 位整数 FreeLibrary 把它当做 HMODULE 那么没有如何问题 但是如果把它当做一个指针 LoadLibrary 把它当做一个 char 它就必 须指向远程进程中的内存数据 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 第一个问题其实已经迎刃而解了 因为 LoadLibrary 和 FreeLibrary 都是存在于 kernel32 dll 中的 函数 而 kernel32 可以保证任何 正常 进程中都存在 且其加载地址都是一样的 参看附录 A 于 是 LoadLibrary FreeLibrary 在任何进程中的地址都是一样的 这就保证了传递给远程进程的指针是个有 效的指针 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 第二个问题也很简单 把 DLL 的文件名 LodLibrary 的参数 用 WriteProcessMemory 复制到远程进 程 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 所以 使用 CreateRemoteThread 和 LoadLibrary 技术的步骤如下 1 得到远程进程的 HANDLE 使用 OpenProcess 2 在远程进程中为 DLL 文件名分配内存 VirtualAllocEx 3 把 DLL 的文件名 全路径 写到分配的内存中 WriteProcessMemory 4 使用 CreateRemoteThread 和 LoadLibrary 把你的 DLL 映射近远程进程 5 等待远程线程结束 WaitForSingleObject 即等待 LoadLibrary 返回 也就是说当我们的 DllMain 是以 DLL PROCESS ATTACH 为参数调用的 返回时远程线程也就立即结束了 6 取回远程线程的结束码 GetExitCodeThtread 即 LoadLibrary 的返回值 我们 DLL 加载后 的基地址 HMODULE 7 释放第 2 步分配的内存 VirtualFreeEx 8 用 CreateRemoteThread 和 FreeLibrary 把 DLL 从远程进程中卸载 调用时传递第 6 步取得的 HMODULE 给 FreeLibrary 通过 CreateRemoteThread 的 lpParameter 参数 9 等待线程的结束 WaitSingleObject 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 同时 别忘了在最后关闭所有的句柄 第 4 8 步得到的线程句柄 第 1 步得到的远程进程句柄 向进程注入代码地三种办法向其 余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 现在我们看看 LibSpy 的部分代码 分析一下以上的步骤是任何实现的 为了简单起见 没有包含错 误处理和支持 Unicode 的代码 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 HANDLE hThread char szLibPath MAX PATH LibSpy dll 的文件名 包含全路径 void pLibRemote szLibPath 将要复制到地址 DWORD hLibModule 已加载的 DLL 的基地址 HMODULE HMODULE hKernel32 GetModuleHandle Kernel32 初始化 szLibPath 1 在远程进程中为 szLibPath 分配内存 2 写 szLibPath 到分配的内存 pLibRemote VirtualAllocEx hProcess NULL sizeof szLibPath MEM COMMIT PAGE READWRITE WriteProcessMemory hProcess pLibRemote void szLibPath sizeof szLibPath NULL 加载 LibSpy dll 到远程进程 通过 CreateRemoteThread WaitForSingleObject hThread INFINITE 取得 DLL 的基地址 GetExitCodeThread hThread 扫尾工作 CloseHandle hThread VirtualFreeEx hProcess pLibRemote sizeof szLibPath MEM RELEASE 我们放在 DllMain 中的真正要注入的代码 比如为 SendMessage 现在已经被执行了 由于 DLL PROCESS ATTACH 所以现在可以把 DLL 从目的进程中卸载了 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托 特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 从目标进程卸载 LibSpu dll 通过 CreateRemoteThread WaitForSingleObject hThread INFINITE 扫尾工作 CloseHandle hThread 进程间通讯 到目前为止 我们仅仅讨论了任何向远程进程注入 DLL 然而 在多数情况下被注入的 DLL 需要和你 的程序以某种方式通讯 记住 那个 DLL 是被映射到远程进程中的 而不是在你的本地程序中 以密 码间谍为例 那个 DLL 需要知道包含了密码的的控件的句柄 很明显 这个句柄是不能在编译期间硬编码 hardcoded 进去的 同样 当 DLL 得到密码后 它也需要把密码发回我们的程序 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序 中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 幸运的是 这个问题有很多种解决方案 文件映射 Mapping WM COPYDATA 剪贴板等 还有一种 非常便利的方法 pragma data seg 这里我不想深入讨论因为它们在 MSDN 看一下 Interprocess Communications 部分 或其他资料中都有很好的说明 我在 LibSpy 中使用的是 pragma data seg 向进程注入代码地三种办法向其余进程注入代码 地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 你可以在本文章的开头找到 LibSpy 及源代码的下载链接 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈 耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 CreateRemoteThread 和 WriteProcessMemory 技术 示例程序 WinSpy向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 另一种注入代码到其他进程地址空间的方法是使用 WriteProcessMemory API 这次你不用编写一个 独立的 DLL 而是直接复制你的代码到远程进程 WriteProcessMemory 并用 CreateRemoteThread 执行之 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 让我们看一下 CreateRemoteThread 的声明 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 HANDLE CreateRemoteThread HANDLE hProcess handle to process to create thread in LPSECURITY ATTRIBUTES lpThreadAttributes pointer to security attributes DWORD dwStackSize initial thread stack size in bytes LPTHREAD START ROUTINE lpStartAddress pointer to thread function LPVOID lpParameter argument for new thread DWORD dwCreationFlags creation flags LPDWORD lpThreadId pointer to returned thread identifier 和 CreateThread 相比 有一下不同 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 增加了 hProcess 参数 这是要在其中创建线程的进程的句柄 CreateRemoteThread 的 lpStartAddress 参数必须指向远程进程的地址空间中的函数 这个函数必须存 在于远程进程中 所以我们不能简单地传递一个本地 ThreadFucn 的地址 我们必须把代码复制到远程进 程 同样 lpParameter 参数指向的数据也必须存在于远程进程中 我们也必须复制它 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的 程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 现在 我们总结一下使用该技术的步骤 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 1 得到远程进程的 HANDLE OpenProcess 2 在远程进程中为要注入的数据分配内存 VirtualAllocEx 3 把初始化后的 INJDATA 结构复制到分配的内存中 WriteProcessMemory 4 在远程进程中为要注入的数据分配内存 VirtualAllocEx 5 把 ThreadFunc 复制到分配的内存中 WriteProcessMemory 6 用 CreateRemoteThread 启动远程的 ThreadFunc 7 等待远程线程的结束 WaitForSingleObject 8 从远程进程取回指执行结果 ReadProcessMemory 或 GetExitCodeThread 9 释放第 2 4 步分配的内存 VirtualFreeEx 10 关闭第 6 1 步打开打开的句柄 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 另外 编写 ThreadFunc 时必须遵守以下规则 1 ThreadFunc 不能调用除 kernel32 dll 和 user32 dll 之外动态库中的 API 函数 只有 kernel32 dll 和 user32 dll 如果被加载 可以保证在本地和目的进程中的加载地址是一样的 注意 user32 并不一定被所有的 Win32 进程加载 参考附录 A 如果你需要调用其他库中的函数 在注入的代 码中使用 LoadLibrary 和 GetProcessAddress 强制加载 如果由于某种原因 你需要的动态库已经被映射 进了目的进程 你也可以使用 GetMoudleHandle 代替 LoadLibrary 同样 如果你想在 ThreadFunc 中调 用你自己的函数 那么就分别复制这些函数到远程进程并通过 INJDATA 把地址提供给 ThreadFunc 2 不要使用 static 字符串 把所有的字符串提供 INJDATA 传递 为什么 编译器会把所有的静态 字符串放在可执行文件的 data 段 而仅仅在代码中保留它们的引用 即指针 这样 远程进程中 的 ThreadFunc 就会执行不存在的内存数据 至少没有在它自己的内存空间中 3 去掉编译器的 GZ 编译选项 这个选项是默认的 看附录 B 4 要么把 ThreadFunc 和 AfterThreadFunc 声明为 static 要么关闭编译器的 增量连接 incremental linking 看附录 C 5 ThreadFunc 中的局部变量总大小必须小于 4k 字节 看附录 D 注意 当 degug 编译时 这 4k 中大约有 10 个字节会被事先占用 6 如果有多于 3 个 switch 分支的 case 语句 必须像下面这样分割开 或用 if else if 代替 向进程注入代码地三种办法向其 余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 switch expression case constant1 statement1 goto END case constant2 statement2 goto END case constant3 statement2 goto END switch expression case constant4 statement4 goto END case constant5 statement5 goto END case constant6 statement6 goto END END 参考附录 E 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 如果你不按照这些游戏规则玩的话 你注定会使目的进程挂掉 记住 不要妄想远程进程中的任何数 据会和你本地进程中的数据存放在相同内存地址 参看附录 F 原话如此 You will almost certainly crash the target process if you don t play by those rules Just remember Don t assume anything in the target process is at the same address as it is in your process GetWindowTextRemote A W 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 所有取得远程 edit 中文本的工作都被封装进这个函数 向进程注入代码地三种办法向其余进程注入代码地三种办法导言 我们在 Code project 上可以找到许多密码间谍程序 译者注 那些可以看到别的程序中密码框内容的软件 他们都依赖于 Windows 钩子技术 要实现这个还有其他的方法吗 有 但是 首先 让我们简单回顾獭遂靳兽弧帖舒普钓既埔囤托特晒倒拭云皿戍挠忍鼠藩迸腻革党学诧甫阿宜唤邪澈耗寓葬镇价聘吻憋稿 破蓄趟刨堑囚或级蔑窄化党馁描禾浪畅揉律 GetWindowTextRemote A W int GetWindowTextRemoteA HANDLE hProcess HWND hWnd LPSTR lpString int GetWindowTextRemoteW HANDLE hProcess HWND hWnd LPWSTR lpString 参数 hProce