我正在使用 CreateRemoteThread api 将 dll 注入进程。这在进程处于运行状态时有效。但是,如果我使用 CreateProcess api 启动处于挂起状态的进程并尝试将 dll 注入其中,则 dll 注入不起作用。但是如果我使用没有挂起标志的 createprocess,那么我可以注入 dll。谁能告诉我这个问题的解决方案?
问问题
1868 次
2 回答
2
我遇到了类似的情况。不知道确切的根本原因,我建议你尝试使用 QueueUserAPC api 进行注入。
于 2014-07-08T15:41:24.103 回答
1
它不能工作,因为创建一个带有挂起标志的进程,它只加载 ntdll.dll。kernal32.dll 尚未加载,因此在远程挂起的进程中,您不能使用 createprocess 调用 LoadLibrary(在 kernal32.dll 中)。但您可以改用 LdrLoadDll(在 ntdll.dll 中)。您也可以将 QueueUserAPC 与 LdrLoadDll 一起使用。会很好用的~
于 2020-07-23T01:38:00.297 回答