0x01.前言

　　提到Dll的注入，立馬能夠想到的方法就有很多，比如利用遠程線程、Apc等等，這里我對Ring3層的Dll注入學習做一個總結吧。

　　我把注入的方法分成六類，分別是：1.創建新線程、2.設置線程上下背景文，修改寄存器、3.插入Apc隊列、4.修改注冊表、5.掛鉤窗口消息、6.遠程手動實現LoadLibrary。

　　那么下面就開始學習之旅吧！

0x02.預備工作

　　在涉及到注入的程序中，提升程序的權限自然是必不可少的，這里我提供了兩個封裝的函數，都可以用于提權。第一個是通過權限令牌來調整權限；第二個是通過ntdll.dll的導出的未文檔化函數RtlAdjustPrivilege來調整權限。

// 傳入參數 SE_DEBUG_NAME，提升到調試權限BOOL GrantPriviledge(WCHAR* PriviledgeName){TOKEN_PRIVILEGES TokenPrivileges, OldPrivileges;DWORD dwReturnLength = sizeof(OldPrivileges);HANDLE TokenHandle = NULL;LUID uID;// 打開權限令牌if (!OpenThreadToken(GetCurrentThread(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &TokenHandle)){if (GetLastError() != ERROR_NO_TOKEN){return FALSE;}if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle)){return FALSE;}}if (!LookupPrivilegeValue(NULL, PriviledgeName, &uID)) // 通過權限名稱查找uID{CloseHandle(TokenHandle);return FALSE;}TokenPrivileges.PrivilegeCount = 1; // 要提升的權限個數TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; // 動態數組，數組大小根據Count的數目TokenPrivileges.Privileges[0].Luid = uID;// 在這里我們進行調整權限if (!AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), &OldPrivileges, &dwReturnLength)){CloseHandle(TokenHandle);return FALSE;}// 成功了CloseHandle(TokenHandle);return TRUE;}

　　緊接著，既然我們要對目標進程注入Dll，那么獲得目標進程的Id是不可或缺的吧，因為OpenProcess是肯定會使用的，這里我也提供了兩種通過目標進程映像名稱獲得進程Id的方法。第一種是最常見的使用TlHelp創建系統的進程快照；第二種是借助Psapi枚舉系列函數，不過這個方法我實現的有缺憾，32位下不能得到64位進程的Id。

// 使用ToolHelp系列函數#include <TlHelp32.h>BOOL GetProcessIdByProcessImageName(IN PWCHAR wzProcessImageName, OUT PUINT32 ProcessId){HANDLE ProcessSnapshotHandle = INVALID_HANDLE_VALUE;PROCESSENTRY32 ProcessEntry32 = { 0 };ProcessEntry32.dwSize = sizeof(PROCESSENTRY32); // 初始化PROCESSENTRY32結構ProcessSnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); // 給系統所有的進程快照if (ProcessSnapshotHandle == INVALID_HANDLE_VALUE){return FALSE;}if (Process32First(ProcessSnapshotHandle, &ProcessEntry32)) // 找到第一個{do{if (lstrcmpi(ProcessEntry32.szExeFile, wzProcessImageName) == 0) // 不區分大小寫{*ProcessId = ProcessEntry32.th32ProcessID;break;}} while (Process32Next(ProcessSnapshotHandle, &ProcessEntry32));}CloseHandle(ProcessSnapshotHandle);ProcessSnapshotHandle = INVALID_HANDLE_VALUE;if (*ProcessId == 0){return FALSE;}return TRUE;}// 使用Psapi系列枚舉函數#include <Psapi.h>BOOL GetProcessIdByProcessImageName(IN PWCHAR wzProcessImageName, OUT PUINT32 ProcessId){DWORD dwProcessesId[1024] = { 0 };DWORD BytesReturned = 0;UINT32 ProcessCount = 0;// 獲得當前操作系統中的所有進程Id，保存在dwProcessesId數組里if (!EnumProcesses(dwProcessesId, sizeof(dwProcessesId), &BytesReturned)){return FALSE;}ProcessCount = BytesReturned / sizeof(DWORD);// 遍歷for (INT i = 0; i < ProcessCount; i++){HMODULE ModuleBase = NULL;WCHAR wzModuleBaseName[MAX_PATH] = { 0 };HANDLE ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessesId[i]);if (ProcessHandle == NULL){continue;}if (EnumProcessModulesEx(ProcessHandle, &ModuleBase, sizeof(HMODULE), &BytesReturned, LIST_MODULES_ALL)){// 獲得進程第一模塊名稱GetModuleBaseName(ProcessHandle, ModuleBase, wzModuleBaseName, MAX_PATH * sizeof(WCHAR));}CloseHandle(ProcessHandle);ProcessHandle = NULL;if (lstrcmpi(wzModuleBaseName, wzProcessImageName) == 0) // 不區分大小寫{*ProcessId = dwProcessesId[i];break;}}if (*ProcessId == 0){return FALSE;}return TRUE;}