遗失记忆 发表于 2016-7-29 14:03:25

Wow64(32位进程)注入DLL到64位进程


DLL注入

向其他进程注入DLL通常的做法是通过调用CreateRemoteThread这个API在目标进程内创建一个远程线程,用这个线程来调用LoadLibraryA或LoadLibraryW(下文统称LoadLibrary)以实现让目标进程加载指定的DLL文件。使用CreateRemoteThread创建一个远程线程需要传入一个线程过程函数的地址,并且这个函数地址是需要在目标进程中有效的。由于LoadLibrary是kernel32.dll的导出函数,所以对于运行在同一个系统上的同为32位的进程或同为64位的进程可以假定彼此进程内的

LoadLibrary函数的地址是相同的。并且CreateRemoteThread的线程过程函数和LoadLibrary的参数个数相同,且参数都是指针,因此通常都是直接将LoadLibrary作为CreateRemoteThread的过程函数。然后使用VirtualAllocEx在目标进程中分配内存,使用WriteProcessMemory往这块内存中写入DLL文件路径,将这块内存的地址作为线程过程函数(LoadLibrary)的参数。

**** Hidden Message *****

msn882 发表于 2016-8-3 18:44:56

谢谢分享!!。。。

fgfgfgf766 发表于 2016-8-17 17:45:50

正式我要找的教程

3133841 发表于 2016-8-21 09:11:40

顶楼主 威武

744741442 发表于 2016-11-19 15:11:02

不错         

宝只林 发表于 2016-11-22 10:50:02

:P 这个绝对要研究看下。

rqf520 发表于 2016-12-13 13:41:48

看看,希望有用吧

shufu 发表于 2017-6-26 01:58:02

Wow64:(:(:(:(

a88292300 发表于 2017-9-24 05:26:14

支持下。谢谢分享

youxiaxy 发表于 2017-11-18 20:45:46

xuexiyixia
页: [1] 2 3 4 5 6 7
查看完整版本: Wow64(32位进程)注入DLL到64位进程