1.技术实现背景

在C++代码中, 如果要实现将一个Dll高效的注入到多个进程中, 可以定义一个HashMap结构, 在该结构中, 键名用来保存多个进程的名称, 而对应的键值可以对应的保存一个或多个DLL路径, 这个HashMap结构定义如下:

unordered_map> injectionMap;

而向其填充的键和键值参考如下:

injectionMap["taskmgr.exe"] = { "C:\\Users\\Public\\mscde.dll","C:\\Users\\Public\\msc23.dll"};
 injectionMap["explorer.exe"] = { "C:\\Users\\Public\\mscde.dll" };
 injectionMap["regedit.exe"] = { "C:\\Users\\Public\\mscde.dll" };
 injectionMap["notepad.exe"] = { "C:\\Users\\Public\\mscde.dll" };

在该结构中, 每个进程可以对应注入的一个或多个Dll, 实际上键值是一个字符串数组。

这里设计一个多DLL注入器的函数如下:

int injectDlls(unordered_map > injectionMap) {
 for (auto& injectRow : injectionMap) {
  for (auto& vectorDLL : injectRow.second) {
           injectDLL(vectorDLL, getPIDbyProcName(injectRow.first));
        }
  cout << endl;
 }
 return 0;
}

该函数实现的功能如下:

• 参数接收一个HashMap结构, 其中键保存了要注入的所有进程名称, 其值保存了要注入到进程的DLL全路径字符串。
• 循环遍历该结构, 取出键中的进程名传给getPIDbyProcName()函数获取该进程名对应的PID; 取出键值中的DLL全路径传给injectDLL()函数的第一个参数, 将获取的PID作为injectDLL()函数的第二个参数传入。
• 最终由injectDLL()函数完成进程DLL注入。

2.实现通过进程名获取PID

通过进程名获取PID的C++参考代码如下:

int getPIDbyProcName(const string& procName) {
    int pid = 0;
    HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32W pe32;
    pe32.dwSize = sizeof(PROCESSENTRY32W);
    if (Process32FirstW(hSnap, &pe32) != FALSE) {
        while (pid == 0 && Process32NextW(hSnap, &pe32) != FALSE) {
            wstring wideProcName(procName.begin(), procName.end());
            if (wcscmp(pe32.szExeFile, wideProcName.c_str()) == 0) {
                pid = pe32.th32ProcessID;
            }
        }
    }
    CloseHandle(hSnap);
    return pid;
}

以上代码属于常规操作, 不再赘述。

3.实现DLL远程注入

实现远程DLL注入的injectDLL() 函数参考代码如下:

bool injectDLL(string dllPath, int pid) {
 char* dllPathChar = new char[dllPath.length() + 1];
 strcpy_s(dllPathChar, dllPath.length() + 1, dllPath.c_str());
 dllPathChar[dllPath.length()] = '\0';
 HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
 if (hProc == NULL) {
  cout << "OpenProcess failed" << endl;
  return false;
 }
 LPVOID LoadLibAddr = (LPVOID)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
 if (LoadLibAddr == NULL) {
  cout << "GetProcAddress failed" << endl;
  return false;
 }
 LPVOID dereercomp = VirtualAllocEx(hProc, NULL, strlen(dllPathChar), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
 if (dereercomp == NULL) {
  cout << "VirtualAllocEx failed" << endl;
  return false;
 }
 if (WriteProcessMemory(hProc, dereercomp, dllPathChar, strlen(dllPathChar), NULL) == 0) {
  cout << "WriteProcessMemory failed" << endl;
  return false;
 }
 HANDLE hThread = CreateRemoteThread(hProc, NULL, NULL, (LPTHREAD_START_ROUTINE)LoadLibAddr, dereercomp, NULL, NULL);
 if (hThread == NULL) {
  cout << "CreateRemoteThread failed" << endl;
  return false;
 }
 CloseHandle(hProc);
 CloseHandle(hThread);
 
 return true;

}

远程DLL注入函数injectDLL() 主要完成了以下工作:

• 接收两个参数, dllPath是要注入的DLL全路径, pid是目标进程的ID。
• 在目标进程中调用VirtualAllocEx函数分配内存,需要传入DLL全路径。
• 调用WriteProcessMemory函数将DLL全路径写入到分配的内存中。
• 动态获取kernel32.dll中的LoadLibraryA函数地址。
• 在目标进程中通过CreateRemoteThread创建一个远程线程, 将入口点设置为LoadLibraryA函数, 并将参数指向目标进程中的DLL路径。
• 关闭进程和远程线程句柄。
• 如果注入成功返回true, 否则返回false。

4.注意事项

以上代码在布满实时监控检测的机器上已经不再适用于各种非法用途, 但DLL注入仍然在很多场景被用到, 例如: 软件调试、逆向工程、辅助工具开发等。上面的代码实现主要是为了分享对DLL注入的技术细节理解和参考。