DLL注入技术之依赖可信进程注入

DLL注入技术之依赖可信进程注入

    依赖可信进程注入原理是利用Windows 系统中Services.exe这个权限较高的进程,首先将a.dll远线程注入到Services.exe中,再利用a.dll将b.dll远线程注入到待注入进程中。具体过程如下图所示:


这里提供一个小技巧,当注入到Services.exe里的DLL时,想在做完事情后悄无声息的将自己释放掉,在Windows 中有这样的一个API函数FreeLibraryAndExitThread(),它可以把自己卸载掉并且退出线程,具体代码如下:

  1. DWORD ThreadProc(CMfcServicesInjectDLLApp* pThis)  
  2. {     
  3.     //切换mfc模块  
  4.     AFX_MANAGE_STATE(AfxGetStaticModuleState());  
  5.     pThis->m_InjectObj.Attach(  
  6.         _T("calc.exe"),  
  7.         _T("D:\\MyDll\\RelyServicesInject\\Debug\\MfcExeInjectDLL.dll"));  
  8.     //在线程中卸载掉自己并且退出线程  
  9.     FreeLibraryAndExitThread(pThis->m_hInstance,0);  
  10.     return 0;  
  11. }  
  12.   
  13. // CMfcServicesInjectDLLApp 初始化  
  14. BOOL CMfcServicesInjectDLLApp::InitInstance()  
  15. {  
  16.     DWORD dwThreadId;  
  17.     m_hThread = ::CreateThread(NULL, NULL,   
  18.         (LPTHREAD_START_ROUTINE)ThreadProc,   
  19.         this, NULL,&dwThreadId);  
  20.         return TRUE;  
  21. }  

依赖可信进程注入其实就是远线程注入的增强版,它利用了系统较高权限的进程进行远程注入,大大提高了注入的成功率,并在注入完毕后释放掉自己,降低了被查杀的可能性。
posted @ 2014-03-18 18:01  vcerror  阅读(465)  评论(0编辑  收藏  举报