用Visual C++實現(xiàn)遠(yuǎn)程線程嵌入技術(shù)

至此，遠(yuǎn)程嵌入順利完成，為了試驗我們的DLL是不是已經(jīng)正常的在遠(yuǎn)程線程運行，我編寫了以下的測試DLL：

BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved)

{

char szProcessId[64] ;

switch ( reason )

{

case DLL_PROCESS_ATTACH:

{

file://獲取當(dāng)前進(jìn)程ID

_itoa ( GetCurrentProcessId(), szProcessId, 10 );

MessageBox ( NULL, szProcessId, RemoteDLL, MB_OK );

}

default:

return TRUE;

}

}

當(dāng)我使用RmtDll.exe程序?qū)⑦@個TestDLL.dll嵌入Explorer.exe進(jìn)程后（PID=1208），該測試DLL彈出了1208字樣的確認(rèn)框，同時使用PS工具也能看到

Process ID: 1208

C:WINNTExplorer.exe (0x00400000)

……

C:TestDLL.dll (0x100000000)

……

這證明TestDLL.dll已經(jīng)在Explorer.exe進(jìn)程內(nèi)正確地運行了。

無論是使用特洛伊DLL還是使用遠(yuǎn)程線程，都是讓木馬的核心代碼運行于別的進(jìn)程的內(nèi)存空間，這樣不僅能很好地隱藏自己，也能更好的保護(hù)自己。