触类旁通---通过远程注入获得进程的控件数据

关键字：    远程注入

---

Contents:

1.前言----------你应该知道的东西

2.简单的举例

• 2.1   做一个整体的结构和思路
• 2.2    理论实例化

3.让功能变得更丰富

4.如何防止被获取数据?

 

5.参考文档

---

 
   
              在开始之前总会有一个前言，就差不多当作一个PREFACE吧.   
我们的平台，应该是win2000向上兼容,等等,为了保险起见，（谁也不知道微软会不会 在未来加入安全因素的考虑，就像他在xp-sp2中加入了raw socket的限制），让我们 一一列举： win2000   winXP  win2003.......其他你应该了解的是： 基于 win2000¹内核  与 win98² （及其相关类似系统）内核区别。 

区别说得明白一点就是:     

win98是共产主义，你的就是我的，我的就是你的。 

win2000是资本主义，每个公民(普通进程)的私有财产神圣不可 侵犯。
      所以在win98下，欲一睹他人财产，完全就是合法的，因为就是我的-___-   相反的，在2000下，我们的行为变成了“偷”。  

                好了，既然确定了我们必须当一次小偷，究竟是巧取豪夺，还是乔装打扮,抑或打入内部？方法太多了~     远程注入是我们这里要说的一种，其他的偷窃方法，比如 dll远程加载, api转向,  全局hook,请参阅其他。远程注入的优势在于简便，不必辛苦新建一dll，抑或深入api内部，说来说去无外乎仅用到一个法宝-------------CreateRemoteThread创建远程进程 <==  你可以把他理解为远程注入函数。
                悼词为止，对不起是到此为止。听了我说了那么多乌烟瘴气的话， 想必已经你已经不胜厌烦。

      一言以蔽之，所有的这一切的你必须要知道的只是两点。

       1.win2000要获得远程进程的数据必须先伪装成那个进程的一部分（有人会说hook技术不需要伪装。请注意大部分hook中需要dll, 而这个dll就是通过被挂接到每个进程上去,成为了进程的一部分，来实现hook的。 *我说“大部分”,那么必然有“小部分”不需要dll的hook那是基于驱动层的，比如有一种键盘hook。）

       2.远程注入------这个方法通过CreateRemoteThread来伪装
    
    win2000¹： 如未加申明，指以windows2000为基础核心的一系列系统，比如 windows2000, windows xp, windows 2003

    win98² ：    如未加申明,指windows98,windows95等系列的核心

 

---

 

   TO BE CONTINUED........