VC++ APC注入

#include <windows.h>
#include <stdio.h>
#include <tlhelp32.h>
#include "Winbase.h"

typedef HANDLE (WINAPI *_OPENTHREAD)(DWORD,BOOL,DWORD);
_OPENTHREAD OpenThread=(_OPENTHREAD)GetProcAddress(GetModuleHandle(("Kernel32.dll")),"OpenThread");


#define def_buf_size 1024

char szFullpath[def_buf_size]={0};

int GetProcessPid(char *pProcessName)
{
	HANDLE handle;
	PROCESSENTRY32  pe;
	BOOL bRet;
	handle=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
	bRet=Process32First(handle,&pe);
	while (bRet)
	{
		if (strcmp(pProcessName,pe.szExeFile)==0)
		{
			return pe.th32ProcessID;
		}
		else
		{
			bRet=Process32Next(handle,&pe);
		}
	}
	return -1;
}

bool injectModulToProcess(DWORD dwProcessid)
{
	HANDLE handle;
	LPVOID lpData;
	DWORD dwResult;
	bool bRet;
	handle=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessid);
	if (handle)
	{
		lpData=VirtualAllocEx(handle,NULL,sizeof(szFullpath)+1,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
		if (lpData)
		{
			bRet=WriteProcessMemory(handle,lpData,(LPVOID)szFullpath,sizeof(szFullpath)+1,&dwResult);
		}
		CloseHandle(handle);
	}
	if (!bRet)
	{
		return false;
	}
	THREADENTRY32 te={sizeof(THREADENTRY32)};
	HANDLE handleSnap=CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);
	if (handleSnap== INVALID_HANDLE_VALUE)
	{
		return false;
	}

	bool bStat=false;

	if (Thread32First(handleSnap,&te))
	{
		do 
		{
			if (te.th32OwnerProcessID==dwProcessid)
			{
				HANDLE handleThread=OpenThread(THREAD_ALL_ACCESS, FALSE, te.th32ThreadID);
				if (handleThread)
				{
					dwResult=QueueUserAPC((PAPCFUNC)LoadLibraryA,handleThread,lpData);
					
					if (dwResult>0)
					{
						bStat=true;
					}
					CloseHandle(handleThread);
				}
			}
		} while (Thread32Next(handleSnap,&te));
	}
	CloseHandle(handleSnap);

	return bStat;
}


int main()
{
	GetCurrentDirectory(def_buf_size,szFullpath);
	strcat(szFullpath,"\\Dlltest.dll");
	char szProcessname[64]="explorer.exe";
	if (!injectModulToProcess(GetProcessPid(szProcessname)))
	{
		printf("%s注入失败",szFullpath);
	}
	else
	{
		printf("%s注入成功",szFullpath);
	}
	return 0;
}

提示：

所谓DLL注入就是将一个DLL放进某个进程的地址空间里，让它成为那个进程的一部分。要实现DLL注入，首先需要打开目标进程。

　　hRemoteProcess = OpenProcess(　PROCESS_CREATE_THREAD | //允许远程创建线程

　　PROCESS_VM_OPERATION　| //允许远程VM操作

　　PROCESS_VM_WRITE,　//允许远程VM写

　　FALSE, dwRemoteProcessId )

　　由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。

　　如果进程打不开，以后的操作就别想了。进程打开后，就可以建立远线程了，不过别急，先想想这个远线程的线程函数是什么？我们的目的是注入一个DLL。而且我们知道用LoadLibrary可以加载一个DLL到本进程的地址空间。于是，自然会想到如果可以在目标进程中调用LoadLibrary，不就可以把DLL加载到目标进程的地址空间了吗？对！就是这样。远线程就在这儿用了一次，建立的远线程的线程函数就是LoadLibrary，而参数就是要注入的DLL的文件名。(这里需要自己想一想，注意到了吗，线程函数ThreadProc和LoadLibrary函数非常相似，返回值，参数个数都一样) 还有一个问题，LoadLibrary这个函数的地址在哪儿？也许你会说，这个简单，GetProcAddress就可以得出。于是代码就出来了。

　　char *pszLibFileRemote="my.dll";

　　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");

　　CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);

　　但是不对！不要忘了，这是远线程，不是在你的进程里，而pszLibFileRemote指向的是你的进程里的数据，到了目标进程，这个指针都不知道指向哪儿去了，同样pfnStartAddr这个地址上的代码到了目标进程里也不知道是什么了，不知道是不是你想要的LoadLibraryA了。但是，问题总是可以解决的，Windows有些很强大的API函数，他们可以在目标进程里分配内存，可以将你的进程中的数据拷贝到目标进程中。因此pszLibFileRemote的问题可以解决了。

　　char *pszLibFileName="my.dll";//注意，这个一定要是全路径文件名，除非它在系统目录里；原因大家自己想想。

　　//计算DLL路径名需要的内存空间

　　int cb = (1 + lstrlenA(pszLibFileName)) * sizeof(char);

　　//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区

　　pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);

　　//使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间

　　iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);

　　OK，现在目标进程也认识pszLibFileRemote了，但是pfnStartAddr好像不好办，我怎么可能知道LoadLibraryA在目标进程中的地址呢？其实Windows为我们解决了这个问题，LoadLibraryA这个函数是在Kernel32.dll这个核心DLL里的，而这个DLL很特殊，不管对于哪个进程，Windows总是把它加载到相同的地址上去。因此你的进程中LoadLibraryA的地址和目标进程中LoadLibraryA的地址是相同的(其实，这个DLL里的所有函数都是如此)。至此，DLL注入结束了。