S.l.e!ep.￠%

標(biāo) 題: 【原創(chuàng)】一種注入進(jìn)程，獲得完全操控的方法之一
作 者: menting
時(shí) 間: 2007-12-05,17:26
鏈 接: http://bbs.pediy.com/showthread.php?t=56036

好長(zhǎng)時(shí)間沒(méi)貼東西了，今天就來(lái)貼點(diǎn)東西，廢話就不說(shuō)了直接進(jìn)入主題，喜歡的就支持，不喜歡的就看樂(lè)和！！
??今天說(shuō)點(diǎn)什么呢~我們今天就說(shuō)HOOK，實(shí)際提到這個(gè)大家都知道它的功用，如果要是抓取消息那肯定是用下面的函數(shù)：
//----------------------------------------------------------------------
::SetWindowsHookA(int?nFilterType,HOOKPROC?pfnFilterProc);
::CallNextHookEx(HHOOK?hhk,int?Code,WPARAM?wParam,LPARAM?lParam);
::UnhookWindowsHook(int?nCode,HOOKPROC?pfnFilterProc);

//它們的參數(shù)我就不說(shuō)了，實(shí)在是太多了！！
//---------------------------------------------------------------------------

??今天我就給大家說(shuō)一種別的方法來(lái)抓取WINDOWS消息的方法，這種方法雖然有點(diǎn)局限性，但是我感覺(jué)很不錯(cuò)的哦！用我

的方法，可以抓取一個(gè)進(jìn)程中的所有窗口的消息。不信就跟我一體來(lái)試試，如果看不太明白，那只好去學(xué)學(xué)相關(guān)知識(shí)了。我們

選擇的方法就是HOOK?API的方法。很多朋友都說(shuō)網(wǎng)絡(luò)上流傳的HOOK?API的很多，但是我碰到的都是HOOK那個(gè)MessageBoxA函數(shù)，

沒(méi)什么意思，今天我就給大家一個(gè)全能的方法，我們不用了解太多PE結(jié)構(gòu)，非要在IAT表中修改，我們先來(lái)看看我們要處理的

API為：

/*------------------------------------------------------------------------------------
?函數(shù)原型：LRESULT?CallWindowProc(WNDPROC?lpPrevWndFunc，HWND?hWnd．UINT?Msg，WPARAM?wParam，LPARAM?IParam);
????參數(shù)：
????lpPrevWndFunc：指向前一個(gè)窗口過(guò)程的指針。如果該值是通過(guò)調(diào)用GetWindowLong函數(shù)，并將該函數(shù)中的nlndex參數(shù)設(shè)為

GWL_WNDPROC或DWL_DLGPROC而得到的，那么它實(shí)際上要么是窗口或者對(duì)話框的地址，要么就是代表該地址的句柄。
????hWnd：指向接收消息的窗口過(guò)程的句柄。
????Msg：指定消息類(lèi)型。
????wParam：指定其余的、消息特定的信息。該參數(shù)的內(nèi)容與Msg參數(shù)值有關(guān)。
????IParam：指定其余的、消息特定的信息。該參數(shù)的內(nèi)容與Msg參數(shù)值有關(guān)。
????返回值：返回值指定了消息處理結(jié)果，它與發(fā)送的消息有關(guān)

-----------------------------------------------------------------------------------*/

我想一般對(duì)這個(gè)函數(shù)，比較陌生點(diǎn)，用的人就不多了，就像我有時(shí)用ntdll.dll中LdrGetDllHandle這類(lèi)函數(shù)一樣。因?yàn)樗墓?br />
能很多時(shí)候都不用知道的:)。

??我們?yōu)榱四茏サ较?，而且不用HOOK這類(lèi)API函數(shù)，我們要在這個(gè)函數(shù)上做手腳，或許可以對(duì)DefWindowProc()這個(gè)函

數(shù)也做手腳，但是我想我要一個(gè)就可以了呵呵！因?yàn)槲疫@里舉例是用自定義消息為例子的，為什么要用自定義消息呢！我還想

說(shuō)明一點(diǎn)問(wèn)題就是遠(yuǎn)程注入進(jìn)程。

??實(shí)際對(duì)于一個(gè)進(jìn)程來(lái)講，只要給它放個(gè)DLL那么它就不得不聽(tīng)你的了，我們可以給這個(gè)DLL發(fā)送一些命令，讓它按照命

令來(lái)操作我們的目標(biāo)進(jìn)程。有的時(shí)候我就特別的喜歡‘該死’，他做的系統(tǒng)就給我們一個(gè)空間，也就是0x400-0x7FF是為用戶自

定義的消息，我們就可以用如下的方法來(lái)設(shè)置命令：
#define?WM_CMD_EXIT??WM_USER+100???//退出進(jìn)程
#define?WM_CMD_GETHWND??WM_USER+101???//獲取HWND句柄
#define?WM_CMD_GETCAPTION?WM_USER+102?//獲取窗口名稱(chēng)

……等等，我們還可以調(diào)用進(jìn)程的內(nèi)部函數(shù)，讓進(jìn)程做我們想讓它做的。實(shí)際就舉個(gè)例子來(lái)將，發(fā)給命令過(guò)去，讓QQ不斷顯示

廣告，或定時(shí)顯示廣告，我們幾乎就完全操作了進(jìn)程了。如果沒(méi)道德，想抓取別人的隱私，那也是順手而已?？墒俏以诎l(fā)這篇

貼的時(shí)候，還是想過(guò)是否要發(fā)，因?yàn)槲矣X(jué)得我手里的東西就是把雙刃劍，能殺這邊，也能殺那邊。希望學(xué)會(huì)的朋友都不要把它

用于搞破壞上。

注入進(jìn)程的方法太多了，我就不說(shuō)了，我把它寫(xiě)了一個(gè)類(lèi)，大家就可以拿去直接用了。

//注意的是，路徑是絕對(duì)路徑，才能給其它進(jìn)程注入。
//----------------------------------------------------------------------------
//?RemoteShell.h:?interface?for?the?CRemoteShell?class.
//
//////////////////////////////////////////////////////////////////////

#if?!defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)
#define?AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_

#if?_MSC_VER?>?1000
#pragma?once
#endif?//?_MSC_VER?>?1000


#include?"tlhelp32.h"
#pragma?comment(lib,"th32.lib")

class?CRemoteShell??
{
public:
??CRemoteShell();
??virtual?~CRemoteShell();
public:
public:
??CString??????????m_dllPath;

??DWORD????????????pId;
??DWORD????????????dwSize;
??LPVOID???????????pDll;
??HANDLE???????hDll;
??HANDLE???????????hToken;
??HANDLE???????????hProcess;
????LUID?????????????Luid;
??TOKEN_PRIVILEGES?tp;

public:
??int????Release(DWORD?procId=NULL);
??int????Load(LPCTSTR?dllpath,DWORD?pId=NULL);?//進(jìn)程注入
??int????Load(LPCTSTR?dllpath,HWND?hWnd);??????//窗口注入
??HANDLE?GetDllHandle(LPCTSTR?path,DWORD?pid);
};

#endif?//?!defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)


//-------------------------------------------------------------------------------------------
//?RemoteShell.cpp:?implementation?of?the?CRemoteShell?class.
//
//////////////////////////////////////////////////////////////////////

#include?"stdafx.h"
#include?"注入程序.h"
#include?"RemoteShell.h"

#ifdef?_DEBUG
#undef?THIS_FILE
static?char?THIS_FILE[]=__FILE__;
#define?new?DEBUG_NEW
#endif

//////////////////////////////////////////////////////////////////////
//?Construction/Destruction
//////////////////////////////////////////////////////////////////////

CRemoteShell::CRemoteShell()
{
??hToken??=NULL;
??hProcess=NULL;
??memset(&tp,0,sizeof(TOKEN_PRIVILEGES));

??//取得句柄的令牌:
????if?(!OpenProcessToken(GetCurrentProcess(),?//是要修改訪問(wèn)權(quán)限的進(jìn)程句柄
????TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,???//指定你所需要的操作類(lèi)型
????&hToken))??????????????????????????????//是返回的訪問(wèn)令牌指針
????{
??????????return?;
????}
????
??//獲取權(quán)限的LUID值:
??if?(!LookupPrivilegeValue(NULL,???????????//系統(tǒng)的名稱(chēng)，如果是本地系統(tǒng)只要指明為NULL就可以了
????SE_DEBUG_NAME,????????????????????????//指明了權(quán)限的名稱(chēng)
????&Luid))???????????????????????????????//返回LUID的指針
????{
??????????return?;
????}

????tp.PrivilegeCount?=?1;
????tp.Privileges[0].Attributes?=?SE_PRIVILEGE_ENABLED;
????tp.Privileges[0].Luid?=?Luid;
????
??//訪問(wèn)令牌進(jìn)行修改:
??if?(!AdjustTokenPrivileges(hToken,????????//訪問(wèn)令牌的句柄
????0,????????????????????????????????????//決定是進(jìn)行權(quán)限修改還是除能(Disable)所有權(quán)限
????&tp,??????????????????????????????????//指明要修改的權(quán)限,指向TOKEN_PRIVILEGES結(jié)構(gòu)的指針，該結(jié)構(gòu)

包含一個(gè)數(shù)組，數(shù)據(jù)組的每個(gè)項(xiàng)指明了權(quán)限的類(lèi)型和要進(jìn)行的操作
????sizeof(TOKEN_PRIVILEGES),?????????????//是結(jié)構(gòu)PreviousState的長(zhǎng)度，如果PreviousState為空，該參

數(shù)應(yīng)為NULL
????NULL,?????????????????????????????????//參數(shù)也是一個(gè)指向TOKEN_PRIVILEGES結(jié)構(gòu)的指針，存放修改前

的訪問(wèn)權(quán)限的信息，可空
????NULL))????????????????????????????????//實(shí)際PreviousState結(jié)構(gòu)返回的大小
????{
??????????return?;
????}
}

CRemoteShell::~CRemoteShell()
{
??if(hToken!=NULL){::CloseHandle(hToken);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
}

//注入給指定進(jìn)程:
int?CRemoteShell::Load(LPCTSTR?dllpath,DWORD?pId)
{
??hProcess???=NULL;
??pDll???????=NULL;
??m_dllPath??=dllpath;

??//如果指定進(jìn)程ID為NULL,就注入給自己.
??if(pId==NULL){pId=::GetCurrentProcessId();}

??//打開(kāi)進(jìn)程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??
??//分配內(nèi)存:
????pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
??if(pDll==NULL){return?-21;}

??//注入DLL:
????BOOL?bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
??if(bRe==FALSE){return?-22;}

??//獲取LoadLibraryA函數(shù)地址:
????FARPROC?pLoadDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
??if(pLoadDll==NULL){return?-23;}

??//創(chuàng)建線程:
????HANDLE?hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);?
??//等待線程結(jié)束:
??::WaitForSingleObject(hRemote,INFINITE);

??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??return?0;
}

//注入給指定程序句柄的進(jìn)程:
int?CRemoteShell::Load(LPCTSTR?dllpath,HWND?hWnd)
{
??hProcess???=NULL;
??pDll???????=NULL;
??pId????????=NULL;
??m_dllPath??=dllpath;

??if(hWnd!=NULL){::GetWindowThreadProcessId(hWnd,&pId);}

??//如果指定進(jìn)程ID為NULL,就注入給自己.
??if(pId==NULL){pId=::GetCurrentProcessId();}

??//打開(kāi)進(jìn)程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??
??//分配內(nèi)存:
????pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
??if(pDll==NULL){return?-21;}

??//注入DLL:
????BOOL?bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
??if(bRe==FALSE){return?-22;}

??//獲取LoadLibraryA函數(shù)地址:
????FARPROC?pLoadDll=::GetProcAddress(::GetModuleHandle("kernel32.dll"),"LoadLibraryA");
??if(pLoadDll==NULL){return?-23;}

??//創(chuàng)建線程:
??HANDLE?hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);?

??//等待線程結(jié)束:
??::WaitForSingleObject(hRemote,INFINITE);

??hDll=GetDllHandle(dllpath,pId);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??return?0;
}

int?CRemoteShell::Release(DWORD?procId)
{
??DWORD?id=NULL;
??
??if(hDll==NULL){return?-1;}
??if(pId!=NULL){id=pId;}
??if(procId!=NULL){id=procId;}

??if(id!=NULL){

??//打開(kāi)進(jìn)程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}

??//FARPROC?pGetDllHandle=GetProcAddress(GetModuleHandle("ntdll.dll"),"LdrGetDllHandle");

??//獲取FreeLibraryA函數(shù)地址:
????FARPROC?pFreeDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"FreeLibrary");
??if(pFreeDll==NULL){return?-23;}

??//創(chuàng)建線程:
????HANDLE?hRemote=::CreateRemoteThread(hProcess,NULL,0,
???????????????????(LPTHREAD_START_ROUTINE)

pFreeDll,hDll,NULL,0);?
??//等待線程結(jié)束:
??::WaitForSingleObject(hRemote,INFINITE);

??::VirtualFreeEx(hProcess,pDll,0,MEM_RELEASE);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??}else{AfxMessageBox("進(jìn)程號(hào)為空!無(wú)法釋放!");}
??
??return?0;
}

HANDLE?CRemoteShell::GetDllHandle(LPCTSTR?path,DWORD?pid)
{
??if(pid==NULL){pid=::GetCurrentProcessId();}
??
??//打開(kāi)進(jìn)程:
??int?num=0;
??BOOL???bRe=FALSE;
??HANDLE?hModule=NULL;
????????????MODULEENTRY32*?minfo=NULL;
????????????minfo=new?MODULEENTRY32;

??if(NULL!=pid)
????{
????hModule=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pid);

????bRe=Module32First(hModule,?minfo);
????for(;bRe!=0;num++)
????{
??????if(lstrcmp(minfo->szExePath,path)==0||lstrcmp(minfo->szModule,path)==0)
??????{return?minfo->modBaseAddr;}
??????bRe=::Module32Next(hModule,minfo);
????}

????}
????????????if(minfo!=NULL){delete?minfo;}
??::CloseHandle(hModule);
??return?NULL;
}


//----------------------------------------------------------------------------------------------

我們用上面的類(lèi)就可以輕松的把一個(gè)DLL注入到別的進(jìn)程，并且還可以輕松的釋放。做到不知不覺(jué)。
話歸前題，我們要怎么樣才能對(duì)CallWindowProc這個(gè)API做手腳了。我們可以看到這個(gè)函數(shù)的入口地方很簡(jiǎn)單：

//-------------------------------------------------------------
77D1E8EA?>??8BFF????????????mov?????edi,?edi
77D1E8EC????55??????????????push????ebp
77D1E8ED????8BEC????????????mov?????ebp,?esp
77D1E8EF????6A?01???????????push????1????????;只是和前面不一樣多了個(gè)參數(shù)1
77D1E8F1????FF75?18?????????push????dword?ptr?[ebp+18]
77D1E8F4????FF75?14?????????push????dword?ptr?[ebp+14]
77D1E8F7????FF75?10?????????push????dword?ptr?[ebp+10]
77D1E8FA????FF75?0C?????????push????dword?ptr?[ebp+C]
77D1E8FD????FF75?08?????????push????dword?ptr?[ebp+8]
77D1E900????E8?E9DCFFFF?????call????77D1C5EE
77D1E905????5D??????????????pop?????ebp
77D1E906????C2?1400?????????retn????14

//-----------------------------------------------------------------------

我們定義了一個(gè)函數(shù)類(lèi)型：
typedef??LRESULT?(*CALLPROC)(WNDPROC,HWND,UINT,WPARAM,LPARAM,int);
這樣我們就可以輕松的調(diào)用這個(gè)函數(shù)了。
我們只需要把：
77D1E900????E8?E9DCFFFF?????call????77D1C5EE
改為我們自己的就可以了。

分析好以后，我們就在我們準(zhǔn)備好的DLL中加入我們代替它的回調(diào)函數(shù)：
//----------------------------------------------------------------------------------------------------
LRESULT?CALLBACK?pnCallWindowProc(IN?WNDPROC?lpPrevWndFunc,
??????????IN?HWND?hWnd,IN?UINT?Msg,
??????????IN?WPARAM?wParam,IN?LPARAM?lParam,IN?int?unk)
{
??switch(Msg)
??{
??case?WM_CMD_EXIT:
????{???????//這里是我們自己定義給進(jìn)程的命令，也就是自定義消息：
??????AfxMessageBox("獲取到命令");return?TRUE;
????}
??default:{break;}
??}
??//返回到原來(lái)的地址:
??return?lpSrcCallProc(lpPrevWndFunc,hWnd,Msg,wParam,lParam,unk);
}
//-------------------------------------------------------------------------------------------------------

我們?cè)贒LL加載時(shí)，把上面那個(gè)地方改掉就可以了。

//----------------------------------------------------------------------------------------------
void?CMyRemoteDllApp::SetHookApiCallBack()
{
??//獲取回調(diào)函數(shù)地址:
??hModule=::GetModuleHandle("User32.dll");
??FARPROC??fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");

??//這里需要做說(shuō)明了，最好大家不要用虛擬絕對(duì)地址，建議用虛擬相對(duì)地址，這樣即使user32.dll的版本不一樣
??//也不會(huì)影響到我們的DLL，我這里都是通過(guò)計(jì)算得到的。
??//聲明結(jié)構(gòu)對(duì)象，為了方便修改，我寫(xiě)了個(gè)結(jié)構(gòu)來(lái)處理:
??_ASM_CALL?_call;
??_call._01cmd?=0xE8;
??DWORD?dword=(DWORD)&pnCallWindowProc-((DWORD)fpCallWindowProc+0x16)-5;
??memcpy((PDWORD)_call._02dat,&dword,4);

??//獲取當(dāng)前內(nèi)存塊的保護(hù)類(lèi)型，由于是系統(tǒng)DLL只給R的權(quán)限，我們必須把R改成RW才能把我們的函數(shù)替換進(jìn)去:
??MEMORY_BASIC_INFORMATION?_base;
??::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
??
??//保存原始入口地址，我們處理的是自定義消息，我們不需要處理全部，所以其他的都轉(zhuǎn)給原來(lái)的地址:
??//做到這里就想起病毒~~~，所以再三請(qǐng)大家不要用于它途
??lpSrcCallProc=(CALLPROC)(*(PDWORD)((DWORD)fpCallWindowProc+0x17));
??lpSrcCallProc=(CALLPROC)((DWORD)fpCallWindowProc+0x16+(DWORD)lpSrcCallProc+5);
??
??//處理為讀寫(xiě)類(lèi)型:
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
??memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);

??//處理完成后,恢復(fù)保護(hù)類(lèi)型:
??DWORD?dwProctect=NULL;
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);

}

//-------------------------------------------------------------------------------------------------------

只加載不算完啊，我們要在DLL退出前把它再改回來(lái)的，要不程序會(huì)不正常的。

//-----------------------------------------------------------------------------------------
int?CMyRemoteDllApp::ExitInstance()?
{
??//?TODO:?Add?your?specialized?code?here?and/or?call?the?base?class
??
??//獲取回調(diào)函數(shù)地址:
??hModule=::GetModuleHandle("User32.dll");
??FARPROC??fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");

??//獲取當(dāng)前內(nèi)存塊的保護(hù)類(lèi)型:
??MEMORY_BASIC_INFORMATION?_base;
??::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
????
??DWORD?dword=(DWORD)lpSrcCallProc-((DWORD)fpCallWindowProc+0x16)-5;

??//聲明結(jié)構(gòu)對(duì)象:
??_ASM_CALL?_call;
??_call._01cmd?=0xE8;
??memcpy((PDWORD)_call._02dat,&dword,4);

??//處理為讀寫(xiě)類(lèi)型:
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
??memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);

??//處理完成后,恢復(fù)保護(hù)類(lèi)型:
??DWORD?dwProctect=NULL;
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);

??return?CWinApp::ExitInstance();
}
//-----------------------------------------------------------------------------------------
??在回調(diào)函數(shù)前必須加?CALLBACK，請(qǐng)大家要注意了，因?yàn)榧优c不加在匯編語(yǔ)言里是完全不一樣的：
//加了的：
//---------------------------------------------------------------------------------------------
1000129C????55??????????????push????ebp
1000129D????8BEC????????????mov?????ebp,?esp
1000129F????51??????????????push????ecx
100012A0????8B45?10?????????mov?????eax,?dword?ptr?[ebp+10]
100012A3????8945?FC?????????mov?????dword?ptr?[ebp-4],?eax
100012A6????817D?FC?6404000>cmp?????dword?ptr?[ebp-4],?464
100012AD????74?02???????????je??????short?100012B1
100012AF????EB?15???????????jmp?????short?100012C6
100012B1????6A?00???????????push????0
100012B3????6A?00???????????push????0
100012B5????68?64300010?????push????10003064
100012BA????E8?A7010000?????call????10001466?????????????????????????;?jmp?到?MFC42.#1200
100012BF????B8?01000000?????mov?????eax,?1
100012C4????EB?21???????????jmp?????short?100012E7
100012C6????8B4D?1C?????????mov?????ecx,?dword?ptr?[ebp+1C]
100012C9????51??????????????push????ecx
100012CA????8B55?18?????????mov?????edx,?dword?ptr?[ebp+18]
100012CD????52??????????????push????edx
100012CE????8B45?14?????????mov?????eax,?dword?ptr?[ebp+14]
100012D1????50??????????????push????eax
100012D2????8B4D?10?????????mov?????ecx,?dword?ptr?[ebp+10]
100012D5????51??????????????push????ecx
100012D6????8B55?0C?????????mov?????edx,?dword?ptr?[ebp+C]
100012D9????52??????????????push????edx
100012DA????8B45?08?????????mov?????eax,?dword?ptr?[ebp+8]
100012DD????50??????????????push????eax
100012DE????FF15?D4310010???call????dword?ptr?[100031D4]?????????????;?USER32.77D1C5EE
100012E4????83C4?18?????????add?????esp,?18
100012E7????8BE5????????????mov?????esp,?ebp
100012E9????5D??????????????pop?????ebp
100012EA????C2?1800?????????retn????18
//---------------------------------------------------------------------------------------------
沒(méi)加的，類(lèi)似如下，沒(méi)加會(huì)在堆棧溢出，必須手動(dòng)修改ESP，才能正常：
//-------------------------------------------------------------------------------------------------
100017A1????55??????????????push????ebp
100017A2????8BEC????????????mov?????ebp,?esp
100017A4????53??????????????push????ebx
……
10001831????8945?0C?????????mov?????dword?ptr?[ebp+C],?eax
10001834????8B45?0C?????????mov?????eax,?dword?ptr?[ebp+C]
10001837????5F??????????????pop?????edi
10001838????5E??????????????pop?????esi
10001839????5B??????????????pop?????ebx
1000183A????5D??????????????pop?????ebp
1000183B????C2?0C00?????????retn????0C


//--------------------------------------------------------------------------------------------------

再需要說(shuō)明一下：
Call?地址不是實(shí)際地址是要算的哦
目的地址-當(dāng)前地址-5
就是CALL?的值，這個(gè)是個(gè)簡(jiǎn)單點(diǎn)的公式?。?！大家用的著哦！

如果，大家要是在，DLL中加入了竊取信息的代碼，那么它就是個(gè)木馬了，只要發(fā)個(gè)消息它就工作，或者設(shè)定在收到某個(gè)消息后才工作，我想要比那些網(wǎng)上的木馬高明點(diǎn)，但是我還希望大家不要這么做，因?yàn)椋@樣做的后果是可憐的哦:)。還有就是不要拿系統(tǒng)進(jìn)程做實(shí)驗(yàn)，容易死機(jī)eek:?????

好了，到現(xiàn)在我們所做的就完工了，還算是基本完美吧！大家發(fā)給消息給被注入進(jìn)程，可以看到有如下圖的提示：
以后，再給大家說(shuō)，怎么調(diào)用進(jìn)程內(nèi)部函數(shù)，這一篇就算結(jié)束了886~~~


看到大家對(duì)我的代碼提出了很好的意見(jiàn)，我很感謝！我粗略的看了看，改的地方比較多，我不做了，大家自己做的時(shí)候要注意了，用完HANDLE別忘記CloseHandle，這個(gè)習(xí)慣我正在改．．大家有這個(gè)習(xí)慣的也注意了哦～～～程序的穩(wěn)定，很重要的點(diǎn)滴．．最近比較煩:(...