標 題: 【原創】一種注入進程，獲得完全操控的方法之一
作 者: menting
時 間: 2007-12-05,17:26
鏈 接: http://bbs.pediy.com/showthread.php?t=56036

好長時間沒貼東西了，今天就來貼點東西，廢話就不說了直接進入主題，喜歡的就支持，不喜歡的就看樂和！！
??今天說點什么呢~我們今天就說HOOK，實際提到這個大家都知道它的功用，如果要是抓取消息那肯定是用下面的函數：
//----------------------------------------------------------------------
::SetWindowsHookA(int?nFilterType,HOOKPROC?pfnFilterProc);
::CallNextHookEx(HHOOK?hhk,int?Code,WPARAM?wParam,LPARAM?lParam);
::UnhookWindowsHook(int?nCode,HOOKPROC?pfnFilterProc);

//它們的參數我就不說了，實在是太多了！！
//---------------------------------------------------------------------------

??今天我就給大家說一種別的方法來抓取WINDOWS消息的方法，這種方法雖然有點局限性，但是我感覺很不錯的哦！用我

的方法，可以抓取一個進程中的所有窗口的消息。不信就跟我一體來試試，如果看不太明白，那只好去學學相關知識了。我們

選擇的方法就是HOOK?API的方法。很多朋友都說網絡上流傳的HOOK?API的很多，但是我碰到的都是HOOK那個MessageBoxA函數，

沒什么意思，今天我就給大家一個全能的方法，我們不用了解太多PE結構，非要在IAT表中修改，我們先來看看我們要處理的

API為：

/*------------------------------------------------------------------------------------
?函數原型：LRESULT?CallWindowProc(WNDPROC?lpPrevWndFunc，HWND?hWnd．UINT?Msg，WPARAM?wParam，LPARAM?IParam);
????參數：
????lpPrevWndFunc：指向前一個窗口過程的指針。如果該值是通過調用GetWindowLong函數，并將該函數中的nlndex參數設為

GWL_WNDPROC或DWL_DLGPROC而得到的，那么它實際上要么是窗口或者對話框的地址，要么就是代表該地址的句柄。
????hWnd：指向接收消息的窗口過程的句柄。
????Msg：指定消息類型。
????wParam：指定其余的、消息特定的信息。該參數的內容與Msg參數值有關。
????IParam：指定其余的、消息特定的信息。該參數的內容與Msg參數值有關。
????返回值：返回值指定了消息處理結果，它與發送的消息有關

-----------------------------------------------------------------------------------*/

我想一般對這個函數，比較陌生點，用的人就不多了，就像我有時用ntdll.dll中LdrGetDllHandle這類函數一樣。因為它的功

能很多時候都不用知道的:)。

??我們為了能抓到消息，而且不用HOOK這類API函數，我們要在這個函數上做手腳，或許可以對DefWindowProc()這個函

數也做手腳，但是我想我要一個就可以了呵呵！因為我這里舉例是用自定義消息為例子的，為什么要用自定義消息呢！我還想

說明一點問題就是遠程注入進程。

??實際對于一個進程來講，只要給它放個DLL那么它就不得不聽你的了，我們可以給這個DLL發送一些命令，讓它按照命

令來操作我們的目標進程。有的時候我就特別的喜歡‘該死’，他做的系統就給我們一個空間，也就是0x400-0x7FF是為用戶自

定義的消息，我們就可以用如下的方法來設置命令：
#define?WM_CMD_EXIT??WM_USER+100???//退出進程
#define?WM_CMD_GETHWND??WM_USER+101???//獲取HWND句柄
#define?WM_CMD_GETCAPTION?WM_USER+102?//獲取窗口名稱

……等等，我們還可以調用進程的內部函數，讓進程做我們想讓它做的。實際就舉個例子來將，發給命令過去，讓QQ不斷顯示

廣告，或定時顯示廣告，我們幾乎就完全操作了進程了。如果沒道德，想抓取別人的隱私，那也是順手而已。可是我在發這篇

貼的時候，還是想過是否要發，因為我覺得我手里的東西就是把雙刃劍，能殺這邊，也能殺那邊。希望學會的朋友都不要把它

用于搞破壞上。

注入進程的方法太多了，我就不說了，我把它寫了一個類，大家就可以拿去直接用了。

//注意的是，路徑是絕對路徑，才能給其它進程注入。
//----------------------------------------------------------------------------
//?RemoteShell.h:?interface?for?the?CRemoteShell?class.
//
//////////////////////////////////////////////////////////////////////

#if?!defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)
#define?AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_

#if?_MSC_VER?>?1000
#pragma?once
#endif?//?_MSC_VER?>?1000


#include?"tlhelp32.h"
#pragma?comment(lib,"th32.lib")

class?CRemoteShell??
{
public:
??CRemoteShell();
??virtual?~CRemoteShell();
public:
public:
??CString??????????m_dllPath;

??DWORD????????????pId;
??DWORD????????????dwSize;
??LPVOID???????????pDll;
??HANDLE???????hDll;
??HANDLE???????????hToken;
??HANDLE???????????hProcess;
????LUID?????????????Luid;
??TOKEN_PRIVILEGES?tp;

public:
??int????Release(DWORD?procId=NULL);
??int????Load(LPCTSTR?dllpath,DWORD?pId=NULL);?//進程注入
??int????Load(LPCTSTR?dllpath,HWND?hWnd);??????//窗口注入
??HANDLE?GetDllHandle(LPCTSTR?path,DWORD?pid);
};

#endif?//?!defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)


//-------------------------------------------------------------------------------------------
//?RemoteShell.cpp:?implementation?of?the?CRemoteShell?class.
//
//////////////////////////////////////////////////////////////////////

#include?"stdafx.h"
#include?"注入程序.h"
#include?"RemoteShell.h"

#ifdef?_DEBUG
#undef?THIS_FILE
static?char?THIS_FILE[]=__FILE__;
#define?new?DEBUG_NEW
#endif

//////////////////////////////////////////////////////////////////////
//?Construction/Destruction
//////////////////////////////////////////////////////////////////////

CRemoteShell::CRemoteShell()
{
??hToken??=NULL;
??hProcess=NULL;
??memset(&tp,0,sizeof(TOKEN_PRIVILEGES));

??//取得句柄的令牌:
????if?(!OpenProcessToken(GetCurrentProcess(),?//是要修改訪問權限的進程句柄
????TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,???//指定你所需要的操作類型
????&hToken))??????????????????????????????//是返回的訪問令牌指針
????{
??????????return?;
????}
????
??//獲取權限的LUID值:
??if?(!LookupPrivilegeValue(NULL,???????????//系統的名稱，如果是本地系統只要指明為NULL就可以了
????SE_DEBUG_NAME,????????????????????????//指明了權限的名稱
????&Luid))???????????????????????????????//返回LUID的指針
????{
??????????return?;
????}

????tp.PrivilegeCount?=?1;
????tp.Privileges[0].Attributes?=?SE_PRIVILEGE_ENABLED;
????tp.Privileges[0].Luid?=?Luid;
????
??//訪問令牌進行修改:
??if?(!AdjustTokenPrivileges(hToken,????????//訪問令牌的句柄
????0,????????????????????????????????????//決定是進行權限修改還是除能(Disable)所有權限
????&tp,??????????????????????????????????//指明要修改的權限,指向TOKEN_PRIVILEGES結構的指針，該結構

包含一個數組，數據組的每個項指明了權限的類型和要進行的操作
????sizeof(TOKEN_PRIVILEGES),?????????????//是結構PreviousState的長度，如果PreviousState為空，該參

數應為NULL
????NULL,?????????????????????????????????//參數也是一個指向TOKEN_PRIVILEGES結構的指針，存放修改前

的訪問權限的信息，可空
????NULL))????????????????????????????????//實際PreviousState結構返回的大小
????{
??????????return?;
????}
}

CRemoteShell::~CRemoteShell()
{
??if(hToken!=NULL){::CloseHandle(hToken);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
}

//注入給指定進程:
int?CRemoteShell::Load(LPCTSTR?dllpath,DWORD?pId)
{
??hProcess???=NULL;
??pDll???????=NULL;
??m_dllPath??=dllpath;

??//如果指定進程ID為NULL,就注入給自己.
??if(pId==NULL){pId=::GetCurrentProcessId();}

??//打開進程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??
??//分配內存:
????pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
??if(pDll==NULL){return?-21;}

??//注入DLL:
????BOOL?bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
??if(bRe==FALSE){return?-22;}

??//獲取LoadLibraryA函數地址:
????FARPROC?pLoadDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
??if(pLoadDll==NULL){return?-23;}

??//創建線程:
????HANDLE?hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);?
??//等待線程結束:
??::WaitForSingleObject(hRemote,INFINITE);

??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??return?0;
}

//注入給指定程序句柄的進程:
int?CRemoteShell::Load(LPCTSTR?dllpath,HWND?hWnd)
{
??hProcess???=NULL;
??pDll???????=NULL;
??pId????????=NULL;
??m_dllPath??=dllpath;

??if(hWnd!=NULL){::GetWindowThreadProcessId(hWnd,&pId);}

??//如果指定進程ID為NULL,就注入給自己.
??if(pId==NULL){pId=::GetCurrentProcessId();}

??//打開進程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??
??//分配內存:
????pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
??if(pDll==NULL){return?-21;}

??//注入DLL:
????BOOL?bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
??if(bRe==FALSE){return?-22;}

??//獲取LoadLibraryA函數地址:
????FARPROC?pLoadDll=::GetProcAddress(::GetModuleHandle("kernel32.dll"),"LoadLibraryA");
??if(pLoadDll==NULL){return?-23;}

??//創建線程:
??HANDLE?hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);?

??//等待線程結束:
??::WaitForSingleObject(hRemote,INFINITE);

??hDll=GetDllHandle(dllpath,pId);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??return?0;
}

int?CRemoteShell::Release(DWORD?procId)
{
??DWORD?id=NULL;
??
??if(hDll==NULL){return?-1;}
??if(pId!=NULL){id=pId;}
??if(procId!=NULL){id=procId;}

??if(id!=NULL){

??//打開進程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}

??//FARPROC?pGetDllHandle=GetProcAddress(GetModuleHandle("ntdll.dll"),"LdrGetDllHandle");

??//獲取FreeLibraryA函數地址:
????FARPROC?pFreeDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"FreeLibrary");
??if(pFreeDll==NULL){return?-23;}

??//創建線程:
????HANDLE?hRemote=::CreateRemoteThread(hProcess,NULL,0,
???????????????????(LPTHREAD_START_ROUTINE)

pFreeDll,hDll,NULL,0);?
??//等待線程結束:
??::WaitForSingleObject(hRemote,INFINITE);

??::VirtualFreeEx(hProcess,pDll,0,MEM_RELEASE);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??}else{AfxMessageBox("進程號為空!無法釋放!");}
??
??return?0;
}

HANDLE?CRemoteShell::GetDllHandle(LPCTSTR?path,DWORD?pid)
{
??if(pid==NULL){pid=::GetCurrentProcessId();}
??
??//打開進程:
??int?num=0;
??BOOL???bRe=FALSE;
??HANDLE?hModule=NULL;
????????????MODULEENTRY32*?minfo=NULL;
????????????minfo=new?MODULEENTRY32;

??if(NULL!=pid)
????{
????hModule=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pid);

????bRe=Module32First(hModule,?minfo);
????for(;bRe!=0;num++)
????{
??????if(lstrcmp(minfo->szExePath,path)==0||lstrcmp(minfo->szModule,path)==0)
??????{return?minfo->modBaseAddr;}
??????bRe=::Module32Next(hModule,minfo);
????}

????}
????????????if(minfo!=NULL){delete?minfo;}
??::CloseHandle(hModule);
??return?NULL;
}


//----------------------------------------------------------------------------------------------

我們用上面的類就可以輕松的把一個DLL注入到別的進程，并且還可以輕松的釋放。做到不知不覺。
話歸前題，我們要怎么樣才能對CallWindowProc這個API做手腳了。我們可以看到這個函數的入口地方很簡單：

//-------------------------------------------------------------
77D1E8EA?>??8BFF????????????mov?????edi,?edi
77D1E8EC????55??????????????push????ebp
77D1E8ED????8BEC????????????mov?????ebp,?esp
77D1E8EF????6A?01???????????push????1????????;只是和前面不一樣多了個參數1
77D1E8F1????FF75?18?????????push????dword?ptr?[ebp+18]
77D1E8F4????FF75?14?????????push????dword?ptr?[ebp+14]
77D1E8F7????FF75?10?????????push????dword?ptr?[ebp+10]
77D1E8FA????FF75?0C?????????push????dword?ptr?[ebp+C]
77D1E8FD????FF75?08?????????push????dword?ptr?[ebp+8]
77D1E900????E8?E9DCFFFF?????call????77D1C5EE
77D1E905????5D??????????????pop?????ebp
77D1E906????C2?1400?????????retn????14

//-----------------------------------------------------------------------

我們定義了一個函數類型：
typedef??LRESULT?(*CALLPROC)(WNDPROC,HWND,UINT,WPARAM,LPARAM,int);
這樣我們就可以輕松的調用這個函數了。
我們只需要把：
77D1E900????E8?E9DCFFFF?????call????77D1C5EE
改為我們自己的就可以了。

分析好以后，我們就在我們準備好的DLL中加入我們代替它的回調函數：
//----------------------------------------------------------------------------------------------------
LRESULT?CALLBACK?pnCallWindowProc(IN?WNDPROC?lpPrevWndFunc,
??????????IN?HWND?hWnd,IN?UINT?Msg,
??????????IN?WPARAM?wParam,IN?LPARAM?lParam,IN?int?unk)
{
??switch(Msg)
??{
??case?WM_CMD_EXIT:
????{???????//這里是我們自己定義給進程的命令，也就是自定義消息：
??????AfxMessageBox("獲取到命令");return?TRUE;
????}
??default:{break;}
??}
??//返回到原來的地址:
??return?lpSrcCallProc(lpPrevWndFunc,hWnd,Msg,wParam,lParam,unk);
}
//-------------------------------------------------------------------------------------------------------

我們在DLL加載時，把上面那個地方改掉就可以了。

//----------------------------------------------------------------------------------------------
void?CMyRemoteDllApp::SetHookApiCallBack()
{
??//獲取回調函數地址:
??hModule=::GetModuleHandle("User32.dll");
??FARPROC??fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");

??//這里需要做說明了，最好大家不要用虛擬絕對地址，建議用虛擬相對地址，這樣即使user32.dll的版本不一樣
??//也不會影響到我們的DLL，我這里都是通過計算得到的。
??//聲明結構對象，為了方便修改，我寫了個結構來處理:
??_ASM_CALL?_call;
??_call._01cmd?=0xE8;
??DWORD?dword=(DWORD)&pnCallWindowProc-((DWORD)fpCallWindowProc+0x16)-5;
??memcpy((PDWORD)_call._02dat,&dword,4);

??//獲取當前內存塊的保護類型，由于是系統DLL只給R的權限，我們必須把R改成RW才能把我們的函數替換進去:
??MEMORY_BASIC_INFORMATION?_base;
??::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
??
??//保存原始入口地址，我們處理的是自定義消息，我們不需要處理全部，所以其他的都轉給原來的地址:
??//做到這里就想起病毒~~~，所以再三請大家不要用于它途
??lpSrcCallProc=(CALLPROC)(*(PDWORD)((DWORD)fpCallWindowProc+0x17));
??lpSrcCallProc=(CALLPROC)((DWORD)fpCallWindowProc+0x16+(DWORD)lpSrcCallProc+5);
??
??//處理為讀寫類型:
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
??memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);

??//處理完成后,恢復保護類型:
??DWORD?dwProctect=NULL;
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);

}

//-------------------------------------------------------------------------------------------------------

只加載不算完啊，我們要在DLL退出前把它再改回來的，要不程序會不正常的。

//-----------------------------------------------------------------------------------------
int?CMyRemoteDllApp::ExitInstance()?
{
??//?TODO:?Add?your?specialized?code?here?and/or?call?the?base?class
??
??//獲取回調函數地址:
??hModule=::GetModuleHandle("User32.dll");
??FARPROC??fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");

??//獲取當前內存塊的保護類型:
??MEMORY_BASIC_INFORMATION?_base;
??::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
????
??DWORD?dword=(DWORD)lpSrcCallProc-((DWORD)fpCallWindowProc+0x16)-5;

??//聲明結構對象:
??_ASM_CALL?_call;
??_call._01cmd?=0xE8;
??memcpy((PDWORD)_call._02dat,&dword,4);

??//處理為讀寫類型:
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
??memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);

??//處理完成后,恢復保護類型:
??DWORD?dwProctect=NULL;
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);

??return?CWinApp::ExitInstance();
}
//-----------------------------------------------------------------------------------------
??在回調函數前必須加?CALLBACK，請大家要注意了，因為加與不加在匯編語言里是完全不一樣的：
//加了的：
//---------------------------------------------------------------------------------------------
1000129C????55??????????????push????ebp
1000129D????8BEC????????????mov?????ebp,?esp
1000129F????51??????????????push????ecx
100012A0????8B45?10?????????mov?????eax,?dword?ptr?[ebp+10]
100012A3????8945?FC?????????mov?????dword?ptr?[ebp-4],?eax
100012A6????817D?FC?6404000>cmp?????dword?ptr?[ebp-4],?464
100012AD????74?02???????????je??????short?100012B1
100012AF????EB?15???????????jmp?????short?100012C6
100012B1????6A?00???????????push????0
100012B3????6A?00???????????push????0
100012B5????68?64300010?????push????10003064
100012BA????E8?A7010000?????call????10001466?????????????????????????;?jmp?到?MFC42.#1200
100012BF????B8?01000000?????mov?????eax,?1
100012C4????EB?21???????????jmp?????short?100012E7
100012C6????8B4D?1C?????????mov?????ecx,?dword?ptr?[ebp+1C]
100012C9????51??????????????push????ecx
100012CA????8B55?18?????????mov?????edx,?dword?ptr?[ebp+18]
100012CD????52??????????????push????edx
100012CE????8B45?14?????????mov?????eax,?dword?ptr?[ebp+14]
100012D1????50??????????????push????eax
100012D2????8B4D?10?????????mov?????ecx,?dword?ptr?[ebp+10]
100012D5????51??????????????push????ecx
100012D6????8B55?0C?????????mov?????edx,?dword?ptr?[ebp+C]
100012D9????52??????????????push????edx
100012DA????8B45?08?????????mov?????eax,?dword?ptr?[ebp+8]
100012DD????50??????????????push????eax
100012DE????FF15?D4310010???call????dword?ptr?[100031D4]?????????????;?USER32.77D1C5EE
100012E4????83C4?18?????????add?????esp,?18
100012E7????8BE5????????????mov?????esp,?ebp
100012E9????5D??????????????pop?????ebp
100012EA????C2?1800?????????retn????18
//---------------------------------------------------------------------------------------------
沒加的，類似如下，沒加會在堆棧溢出，必須手動修改ESP，才能正常：
//-------------------------------------------------------------------------------------------------
100017A1????55??????????????push????ebp
100017A2????8BEC????????????mov?????ebp,?esp
100017A4????53??????????????push????ebx
……
10001831????8945?0C?????????mov?????dword?ptr?[ebp+C],?eax
10001834????8B45?0C?????????mov?????eax,?dword?ptr?[ebp+C]
10001837????5F??????????????pop?????edi
10001838????5E??????????????pop?????esi
10001839????5B??????????????pop?????ebx
1000183A????5D??????????????pop?????ebp
1000183B????C2?0C00?????????retn????0C


//--------------------------------------------------------------------------------------------------

再需要說明一下：
Call?地址不是實際地址是要算的哦
目的地址-當前地址-5
就是CALL?的值，這個是個簡單點的公式！！！大家用的著哦！

如果，大家要是在，DLL中加入了竊取信息的代碼，那么它就是個木馬了，只要發個消息它就工作，或者設定在收到某個消息后才工作，我想要比那些網上的木馬高明點，但是我還希望大家不要這么做，因為，這樣做的后果是可憐的哦:)。還有就是不要拿系統進程做實驗，容易死機eek:?????

好了，到現在我們所做的就完工了，還算是基本完美吧！大家發給消息給被注入進程，可以看到有如下圖的提示：
以后，再給大家說，怎么調用進程內部函數，這一篇就算結束了886~~~


看到大家對我的代碼提出了很好的意見，我很感謝！我粗略的看了看，改的地方比較多，我不做了，大家自己做的時候要注意了，用完HANDLE別忘記CloseHandle，這個習慣我正在改．．大家有這個習慣的也注意了哦～～～程序的穩定，很重要的點滴．．最近比較煩:(...