詳細解讀：遠端執行緒注入DLL到PC版微信

一、遠端執行緒注入的原理

　　1、其基礎是在 Windows 系統中，每個 .exe 檔案在雙擊開啟時都會載入 kernel32.dll 這個系統模組，該模組中有一個 LoadLibrary() 函式，可以將DLL檔案載入到自身程式中。

　　2、這樣，就可以用 CreateRemoteThread() 函式建立一個遠端執行緒，讓目標程式呼叫LoadLibrary() 來載入我們自己寫的DLL 。CreateRemoteThread() 有這幾個引數比較關鍵：A:想要注入的程式的控制程式碼，這裡可以通過OpenProcess()得到； B:想要執行的函式，本例中當然是 LoadLibrary() 啦； C: 所執行函式的引數，本例中是自己寫的DLL的存放路徑。

　　3、那麼，怎麼讓 LoadLibrary() 找到自己寫的DLL的存放路徑呢？這就需要在記憶體中開闢一塊空間，把路徑寫入進去。這要先用 VirtualAllocEx(）開闢一塊空間，然後用WriteProcessMemory() 函式把DLL路徑寫進去。

　　4、小結：總的來說，就是：先在目標程式的記憶體空間裡開闢一塊新地方，往新地方里面寫入DLL的路徑，再建立遠端執行緒找到LoadLibrary() 函式，並在剛才開闢的新地方中讀取DLL路徑，進而載入我們自己寫的DLL。

二、程式碼實現（含詳細註釋）

#include <iostream>
#include "stdlib.h"
#include <tchar.h>
#include <Windows.h>

bool Inject(DWORD dwId, WCHAR* szPath)//引數1：目標程式PID  引數2：DLL路徑
{
    //一、在目標程式中申請一個空間


    /*
    【1.1 獲取目標程式控制程式碼】
    引數1：想要擁有的程式許可權（本例為所有能獲得的許可權）
    引數2：表示所得到的程式控制程式碼是否可以被繼承
    引數3：被開啟程式的PID
    返回值:指定程式的控制程式碼
    */
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwId); 


    /*
    【1.2 在目標程式的記憶體裡開闢空間】
    引數1：目標程式控制程式碼
    引數2：保留頁面的記憶體地址，一般用NULL自動分配
    引數3：欲分配的記憶體大小，位元組單位
    引數4：MEM_COMMIT：為特定的頁面區域分配記憶體中或磁碟的頁面檔案中的物理儲存
    引數5：PAGE_READWRITE 區域可被應用程式讀寫
    返回值：執行成功就返回分配記憶體的首地址，不成功就是NULL
    */
    LPVOID pRemoteAddress = VirtualAllocEx(
        hProcess,
        NULL,
        1,
        MEM_COMMIT,
        PAGE_READWRITE
    );

    //二、 把dll的路徑寫入到目標程式的記憶體空間中

    DWORD dwWriteSize = 0;
    /*
    【寫一段資料到剛才給指定程式所開闢的記憶體空間裡】
    引數1：OpenProcess返回的程式控制程式碼
    引數2：準備寫入的記憶體首地址
    引數3：指向要寫的資料的指標（準備寫入的東西）
    引數4：要寫入的位元組數（東西的長度+0/）
    引數5： 返回值。返回實際寫入的位元組
    */
    WriteProcessMemory(hProcess,pRemoteAddress, szPath, wcslen(szPath) * 2 + 2, &dwWriteSize);


    //三、 建立一個遠端執行緒，讓目標程式呼叫LoadLibrary

    /*
    引數1：該遠端執行緒所屬程式的程式控制程式碼
    引數2：一個指向 SECURITY_ATTRIBUTES 結構的指標, 該結構指定了執行緒的安全屬性
    引數3：執行緒棧初始大小,以位元組為單位,如果該值設為0,那麼使用系統預設大小
    引數4：在遠端程式的地址空間中,該執行緒的執行緒函式的起始地址（也就是這個執行緒具體要乾的活兒）
    引數5：傳給執行緒函式的引數（剛才在記憶體裡開闢的空間裡面寫入的東西）
    引數6：控制執行緒建立的標誌。0（NULL）表示該執行緒在建立後立即執行
    引數7：指向接收執行緒識別符號的變數的指標。如果此引數為NULL，則不返回執行緒識別符號
    返回值：如果函式成功，則返回值是新執行緒的控制程式碼。如果函式失敗，則返回值為NULL
    */
    HANDLE hThread = CreateRemoteThread(
        hProcess,
        NULL,
        0,
        (LPTHREAD_START_ROUTINE)LoadLibrary,
        pRemoteAddress,
        NULL,
        NULL
    );
    WaitForSingleObject(hThread, -1); //當控制程式碼所指的執行緒有訊號的時候，才會返回
    
    /*
    四、 【釋放申請的虛擬記憶體空間】
    引數1：目標程式的控制程式碼。該控制程式碼必須擁有 PROCESS_VM_OPERATION 許可權
    引數2：指向要釋放的虛擬記憶體空間首地址的指標
    引數3：虛擬記憶體空間的位元組數
    引數4：MEM_DECOMMIT僅標示記憶體空間不可用，記憶體頁還將存在。
           MEM_RELEASE這種方式很徹底，完全回收。
    */
    VirtualFreeEx(hProcess, pRemoteAddress, 1, MEM_DECOMMIT);
    return 0;
}


int _tmain(int argc, _TCHAR * argv[])
{
    wchar_t wStr[] = L"E:\\inject.dll";
    DWORD dwId = 0;

    //引數1：(NULL
    //引數2：目標視窗的標題
    //返回值：目標視窗的控制程式碼
    HWND hCalc = FindWindow(NULL, L"微信");
    printf("目標視窗的控制程式碼為:%d\n", hCalc);

    DWORD dwPid = 0;

    //引數1：目標程式的視窗控制程式碼
    //引數2：把目標程式的PID存放進去
    DWORD dwRub = GetWindowThreadProcessId(hCalc, &dwPid);
    printf("目標視窗的程式PID為:%d\n", dwPid);

    //引數1：目標程式的PID
    //引數2：想要注入DLL的路徑
    Inject(dwPid, wStr);

    return 0;
}

 

執行之後，DLL就注入到了PC版的微信程式。且該DLL中含有一個彈窗程式碼，也出現在了PC版微信的介面之上。

 

 

附：測試用的DLL程式碼

#include <windows.h>


DWORD WINAPI runBot(LPVOID lpParam) {
    // 此處可以寫具體的bot程式碼
    return 1;
}


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        MessageBoxA(NULL, "DLL Attached!\n", "Game Hacking", MB_OK | MB_TOPMOST);
        CreateThread(NULL, 0, &runBot, NULL, 0, NULL); 
        break;
    }
    return TRUE;
}

（以上例程均在 Windows 10 系統，VisualStudio 2019 環境中編譯通過）