向其他进程注入代码的三种方法

向其他进程注入代码的三种方法

向其他进程注入代码的三种方法

本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Process 一文，原版地址见下面。本文章版权归原作者所有。

原版地址：/threa ... 152&msg=1025152

下载整个压缩包

下载WinSpy

作者：Robert Kuster

翻译：袁晓辉( hyzs@)

摘要：如何向其他线程的地址空间中注入代码并在这个线程的上下文中执行之。

目录：

●导言

●Windows 钩子（Hooks）

●CreateRemoteThread 和LoadLibrary 技术

○进程间通讯

●CreateRemoteThread 和WriteProcessmemory 技术

○如何使用该技术子类（SubClass）其他进程中的控件

○什么情况下适合使用该技术

●写在最后的话

●附录

●参考

●文章历史

导言：

我们在Code project（）上可以找到许多密码间谍程序（译者注：那些可以看到别的程序中密码框内容的软件），他们都依赖于Windows钩子技术。要实现这个还有其他的方法吗？有！但是，首先，让我们简单回顾一下我们要实现的目标，以便你能弄清楚我在说什么。

要读取一个控件的内容，不管它是否属于你自己的程序，一般来说需要发送

WM_GETTEXT 消息到那个控件。这对edit控件也有效，但是有一种情况例外。如果这个edit控件属于其他进程并且具有ES_PASSWORD 风格的话，这种方法就不会成功。只有“拥有（OWNS）”这个密码控件的进程才可以用WM_GETTEXT 取得它的内容。所以，我们的问题就是：如何让下面这句代码在其他进程的地址空间中运行起来：::SendMessage( hPwdEdit, WM_GETTEXT, nMaxChars, psBuffer );

一般来说，这个问题有三种可能的解决方案：

1. 把你的代码放到一个DLL中；然后用windows 钩子把它映射到远程进程。

2. 把你的代码放到一个DLL中；然后用CreateRemoteThread 和LoadLibrary 把它映射到远程进程。

3. 不用DLL，直接复制你的代码到远程进程（使用WriteProcessMemory）并且用CreateRemoteThread执行之。在这里有详细的说明：

Ⅰ. Windows 钩子

示例程序：HookSpy 和HookInjEx

Windows钩子的主要作用就是监视某个线程的消息流动。一般可分为：

1．局部钩子，只监视你自己进程中某个线程的消息流动。

2．远程钩子，又可以分为：

a．特定线程的，监视别的进程中某个线程的消息；

b．系统级的，监视整个系统中正在运行的所有线程的消息。

如果被挂钩（监视）的线程属于别的进程（情况2a和2b），你的钩子过程（hook procedure）必须放在一个动态连接库（DLL）中。系统把这包含了钩子过程的DLL映射到被挂钩的线程的地址空间。Windows会映射整个DLL而不仅仅是你的钩子过程。这就是为什么windows钩子可以用来向其他线程的地址空间注入代码的原因了。

在这里我不想深入讨论钩子的问题（请看MSDN中对SetWindowsHookEx的说明），让我再告诉你两个文档中找不到的诀窍，可能会有用：

1．当SetWindowHookEx调用成功后，系统会自动映射这个DLL到被挂钩的线程，但并不是立即映射。因为所有的Windows钩子都是基于消息的，直到一个适当的事件发生后这个DLL才被映射。比如：

如果你安装了一个监视所有未排队的（nonqueued）的消息的钩子

（WH_CALLWNDPROC），只有一个消息发送到被挂钩线程（的某个窗口）后这个DLL才被映射。也就是说，如果在消息发送到被挂钩线程之前调用了UnhookWindowsHookEx那么这个DLL就永远不会被映射到该线程（虽然SetWindowsHookEx调用成功了）。为了强制映射，可以在调用SetWindowsHookEx后立即发送一个适当的消息到那个线程。

同理，调用UnhookWindowsHookEx之后，只有特定的事件发生后DLL才真正地从被挂钩线程卸载。

2．当你安装了钩子后，系统的性能会受到影响（特别是系统级的钩子）。然而如果你只是使用的特定线程的钩子来映射DLL而且不截获如何消息的话，这个缺陷也可以轻易地避免。看一下下面的代码片段：

BOOL APIENTRY DllMain( HANDLE hModule,

DWORD ul_reason_for_call,

LPVOID lpReserved )

{

if( ul_reason_for_call == DLL_PROCESS_ATTACH )

{

//用LoadLibrary增加引用次数

char lib_name[MAX_PATH];

::GetModuleFileName( hModule, lib_name, MAX_PATH );

::LoadLibrary( lib_name );

// 安全卸载钩子

::UnhookWindowsHookEx( g_hHook );

}

return TRUE;

}

我们来看一下。首先，我们用钩子映射这个DLL到远程线程，然后，在DLL被真正映射进去后，我们立即卸载挂钩（unhook）。一般来说当第一个消息到达被挂钩线程后，这DLL会被卸载，然而我们通过LoadLibrary来增加这个DLL的引用次数，避免了DLL被卸载。

剩下的问题是：使用完毕后如何卸载这个DLL？UnhookWindowsHookEx不行了，因为我们已经对那个线程取消挂钩（unhook）了。你可以这么做：

○在你想要卸载这个DLL之前再安装一个钩子；

○发送一个“特殊”的消息到远程线程；

○在你的新钩子的钩子过程（hook procedure）中截获该消息，调用FreeLibrary 和（译者注：对新钩子调用）UnhookwindowsHookEx。

现在，钩子只在映射DLL到远程进程和从远程进程卸载DLL时使用，对被挂钩线程的