CreateRemoteThreadWriteProcessMemory技术 简要的

本文前面已经介绍过CreateRemoteThread的函数原型，注意以下几点：

1、              hProcess参数是CreateRemoteThread的附加参数，它是进程决定创建哪个线程的句柄。

2、              lpStartAddress参数是线程在远程进程地址空间中的开始地址。它必须存在于远程进程中，因此不能简单的拷贝一个地址句柄传递给本地的ThreadFunc，而必须先将代码拷贝到远程进程中。

3、              对于lpParameter参数也一样，也必须将他拷贝到远程进程中。

下面概括一下使用CreateRemoteThread和WriteProcessMemory的具体步骤。

1、返回远程进程的句柄HANDLE（OpenProcess）

2、在远程进程的地址空间中为待注入的代码分配内存（VirtualAllocEX）

3、将已初始化后的INJDATA结构的一个拷贝写入分配的内存（WriteProcessMemory）

4、在远程进程的地址空间中为注入的代码分配内存

5、将ThreadPunc的一个拷贝写入分配的内存

6、使用CreateRemoteThread来执行远程的ThreadFunc拷贝

7、等待远程线程的终止（WaitForSingleObject）

8、从远程进程中返回执行结果（ReadProcessMemory或GetExitCodeThread）

9、释放已申请的内存，包括步骤2和步骤4中的申请（VirtualFreeEx）

10、             关闭返回的句柄，包括步骤1和步骤6中的HANDLE（CloseHandle）

上述步骤中需要定义INJDATA结构：

typedef struct {

       HWND    hwnd;

       SENDMESSAGE         fnSendMessage; // pointer to user32!SendMessage

       BYTE     pbText[128 * sizeof(TCHAR)];

} INJDATA, *PINJDATA;

构造ThreadFunc时将INJDATA作为传递的参数：

static DWORD WINAPI ThreadFunc (INJDATA *pData)

{

       return 0;

}