本文整理自网络,侵删。
一些木马采用DLL注入的方式存在于系统中,由于其隐蔽性,对于用户
来说是很大威胁,下面介绍如何用Delphi?载任意进程的某个动态链接库。
一、DLL注入
DLL注入是指以各种如钩子、远程线程、木马DLL等方式,将某个DLL
注入到目标进程中运行,由于不需要进程驻留,这种方式往往能达到较好
的隐藏效果。
二、DLL?载
用创建远程线程方式在目标进程中运行?载代码,让进程自己?载DLL。
远程线程是指在其他进程空间运行的线程,比如进程A有一个线程A,我们
在进程B中知道线程A的地址,哪么我们可以用CreateRemoteThread函数在
进程B中运行进程A的线程A,这个线程A就是相对于进程B的远程线程。如果
进程A里面并没有预先供我们运行的线程,哪么我们可以用VirtualAllocEx
在进程A申请一块空间,再用WriteProcessMemory把我们的线程代码写过去,
然后用CreateRemoteThread函数实现远程线程的运行。
?载DLL的代码很简单,只需调用FreeLibrary(DLL_Handle)即可,但
实际情况有些复杂。我们知道,当我们在写源代码时调用API都是直接调
用,特殊情况声明一下包含某单元(头文件),编译器就会帮我们做好幕
后工作,建立相应的引入表项目,引入该API,API就可以用了。而到了目
标进程里面,我们并不知道FreeLibrary的地址,哪么我们需要找到API的
地址才能调用。
附件下载:/Upfile/20101016/2010101635020593.rar 相关阅读 >>
Delphi 获取随机字符串的方法 getrandomstring
Delphi tms web core 通过url 传递参数
更多相关阅读请进入《Delphi》频道 >>
