CreateRemoteThread远程注入的函数调用问题
各位大牛,请教一个问题
在调用CreateRemoteThread函数进行远程注入的时候,也就是网上那个流传很广的MESSAGEBOX的案例
关于将MESSAGEBOX的函数地址作为参数拷贝至远程进行中
这里有一些困惑,为何只是拷贝了函数地址,而非函数的整个代码段,在远程进程中却能够调用?
[解决办法]
正常情况下,所有进程加载的user32.dll都在相同的地址,所以里面的函数在不同的进程中的地址也是一样的.
应该没有 只加载动态库中的某一函数 的说法,一加载,其动态库中的所有函数就都是可用的了.
你重点体会一下MessageBox要显示的字符串的处理.
甚至是这样,在你的进程没有动态修改user32.dll之前,所有进程的user32.dll代码,在物理内存中只有一份,
一旦你的进程改写了user32.dll,那么你进程中的user32.dll就会被单独复制出一份.
