• 当你想要为另一个进程创建的窗口建立子类时。
• 当你需要调试帮助时(例如,当你需要确定另一个进程正在使用哪个DLL时)。
• 当你想要挂接其他进程时
将DLL插入到另一个进程的地址空间中。一旦DLL进入另一个进程的地址空间,就可以对另一个进程为所欲为。Dll必须进入进程的空间否则就会出现地址访问的越界违规。这就是问什么不能直接用函数 SetWindowLongPtr(hwnd,GWLP_WNDPROC,Mysubclassproc);插入的方法有多种:
1:注册表插入
windows98不可以用!是在windows初始化的时候加载的!DLL只会映射到使用User 32.dll的进程中。所有基于GUI的应用程序均使用User32.dll,不过大多数基于CUI的应用程序并不使用它。很容易实现但很不安全,系统易崩溃!
2:用windows挂钩插入DLL
Microsoft Spy++就是安装了挂钩(wm_getmessage)查看系统各个窗口处理的消息!用下面的函数安装
HHOOK HhOOK = SetWindowsHookEx(WH_GETMESSAGE,GetMsgProc,hinstDll,0);
第一个参数WH_GETMESSAGE用于指定安装挂钩的类型,GetMsgProc用于指明窗口准备处理一个消息时系统应该调用的函数的地址。HinstDll指明包含GetMsgProc函数的DLL,DLL的hinstDll的值用于标识DLL被映射到的进程的地址空间中的虚拟内存地址;最后一个参数0用于指明要挂接的线程,对于一个线程来说,它可以调用SetWindowsHookEx函数,传递系统中的另一个线程的ID。通过为这个参数传递0,就告诉系统说,我们想要挂接系统中的所有GUI线程。现在让我们来看一看将会发生什么情况:
1) 进程B中的一个线程准备将一条消息发送到一个窗口。
2) 系统查看该线程上是否已经安装了WH_GETMESSAGE挂钩。
3) 系统查看包含GetMsgProc函数的DLL是否被映射到进程B的地址空间中。
4) 如果该DLL尚未被映射,系统将强制该DLL映射到进程B的地址空间,并且将进程B中的DLL映像的自动跟踪计数递增1
这个方法允许你在另一个进程的地址空间中不再需要DLL时删除该DLL的映像,方法是调用函数 BOOL UnhookWindowsHookEx(HHOOK hhook);
3: 使用远程线程来插入D L L
这个DLL插入法要求目标进程中的线程调用LoadLibrary函数来加载必要的DLL。但我们无法控制其它线程,因此要求我们可以在目标进程中创建一个新进程以便控制它。CreateRemoteThread函数可以做到这一点:
HANDLE CreateRemoteThread(
HANDLE hProcess, //指明拥有新创建线程的进程句柄
PSECURITY_ATTRIBUTES psa,
PTHREAD_START_ROUTINE pfnStartAddr, //线程函数的地址空间
PVOID pvParam,
DWORD fdwCreate,
PDWORD pdwThreadId);
使用实例:
HANDLE hThread=CreateRemoteThread(hProcessRemote,NULL,0,
LoadLibraryA,”C:\\mylib.dll”,0,NULL);
CreateRemoteThread的前提条件是Kernel32.dll已经被同事映射到了本地和远程进程的地址空间中,恰好每个程序都要用到Kernel32.dll。
PTHREAD_START_ROUTIME pfnThreadRtn = (PTHREAD_START_ROUTIME)
GetProcAddress(GetModuleHandle(TEXT(“Kernel32”),”LoadLibraryA”);
HANDLE hThread = CreateRemoteThread(hProcessRemote,NULL,0,
pfnThreadRtn,”c:\\mylib.dll”,0,NULL);
《WINDOWS核心编程》中的例子
BOOL WINAPI InjectLibW(DWORD dwProcessId, PCWSTR pszLibFile)
{
BOOL fOk = FALSE; // Assume that the function fails
HANDLE hProcess = NULL, hThread = NULL;
PWSTR pszLibFileRemote = NULL;
__try {
// Get a handle for the target process.
hProcess = OpenProcess(
PROCESS_QUERY_INFORMATION | // Required by Alpha
PROCESS_CREATE_THREAD | // For CreateRemoteThread
PROCESS_VM_OPERATION | // For VirtualAllocEx/VirtualFreeEx
PROCESS_VM_WRITE, // For WriteProcessMemory
FALSE, dwProcessId);
if (hProcess == NULL) __leave;
// Calculate the number of bytes needed for the DLL''s pathname
int cch = 1 + lstrlenW(pszLibFile);
int cb = cch * sizeof(WCHAR);
// Allocate space in the remote process for the pathname
pszLibFileRemote = (PWSTR)
VirtualAllocEx(hProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
if (pszLibFileRemote == NULL) __leave;
// Copy the DLL''s pathname to the remote process''s address space
if (!WriteProcessMemory(hProcess, pszLibFileRemote,
(PVOID) pszLibFile, cb, NULL)) __leave;
// Get the real address of LoadLibraryW in Kernel32.dll
PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
if (pfnThreadRtn == NULL) __leave;
// Create a remote thread that calls LoadLibraryW(DLLPathname)
hThread = CreateRemoteThread(hProcess, NULL, 0,
pfnThreadRtn, pszLibFileRemote, 0, NULL);
if (hThread == NULL) __leave;
// Wait for the remote thread to terminate
WaitForSingleObject(hThread, INFINITE);
fOk = TRUE; // Everything executed successfully
}
__finally { // Now, we can clean everthing up
// Free the remote memory that contained the DLL''s pathname
if (pszLibFileRemote != NULL)
VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);
if (hThread != NULL)
CloseHandle(hThread);
if (hProcess != NULL)
CloseHandle(hProcess);
