技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別涉及一種將自定義DLL注入目標(biāo)進(jìn)程的方法及裝置。

背景技術(shù)

隨著WINDOWS應(yīng)用的飛速發(fā)展，WINDOWS?API編程得到了廣泛的普及和應(yīng)用，為了更好地收集一些系統(tǒng)運(yùn)行時(shí)的數(shù)據(jù)，可以通過HOOK?API（HOOK?Application?Programming?Interface，具有鉤子功能的應(yīng)用程序編程接口）的方式對(duì)系統(tǒng)在應(yīng)用層的程序進(jìn)行HOOK（鉤子）處理以攔截需要的數(shù)據(jù)。

目前，通過HOOK?API攔截需要的數(shù)據(jù)時(shí)，首先需要將編寫有可實(shí)現(xiàn)功能的DLL（DynamicLinkLibrary，動(dòng)態(tài)鏈接庫）注入到被HOOK的目標(biāo)進(jìn)程中。一種在應(yīng)用層中將DLL注入目標(biāo)進(jìn)程的方法，可以包括：首先編寫一個(gè)可以實(shí)現(xiàn)所需功能的自定義DLL，比如，如果想要HOOK目標(biāo)進(jìn)程中符合條件的數(shù)據(jù)，則該自定義DLL的代碼段中可以包括用于獲取目標(biāo)進(jìn)程中符合該條件的數(shù)據(jù)的代碼，這里所講的目標(biāo)進(jìn)程為想要HOOK的進(jìn)程；然后通過鉤子函數(shù)SetWindowsHookEx將該自定義DLL注入到目標(biāo)進(jìn)程中。

在實(shí)現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題：由于鉤子函數(shù)SetWindowsHookEx是基于消息的，每次注入的時(shí)機(jī)會(huì)受到其他條件的限制，所以在將自定義DLL注入到目標(biāo)進(jìn)程時(shí)，該目標(biāo)進(jìn)程可能已經(jīng)執(zhí)行了一段時(shí)間，因此這段時(shí)間產(chǎn)生的數(shù)據(jù)是無法被HOOK到的。由此可知，通過現(xiàn)有的注入方法進(jìn)行HOOK操作時(shí)，不能完全獲取到目標(biāo)進(jìn)程在執(zhí)行時(shí)產(chǎn)生的數(shù)據(jù)。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)中通過現(xiàn)有的注入方法進(jìn)行HOOK操作時(shí)，不能完全獲取到目標(biāo)進(jìn)程在運(yùn)行時(shí)產(chǎn)生的數(shù)據(jù)的問題，本發(fā)明實(shí)施例提供了一種將自定義DLL注入目標(biāo)進(jìn)程的方法及裝置。所述技術(shù)方案如下：

第一方面，提供了一種。將自定義DLL注入目標(biāo)進(jìn)程的方法，所述方法，包括：

創(chuàng)建目標(biāo)進(jìn)程；

在所述目標(biāo)進(jìn)程開始運(yùn)行之前，修改用于加載DLL的加載函數(shù)，使得在所述目標(biāo)進(jìn)程開始運(yùn)行并調(diào)用所述加載函數(shù)后，將所述目標(biāo)進(jìn)程的執(zhí)行點(diǎn)從所述加載函數(shù)的起始代碼跳轉(zhuǎn)至所述目標(biāo)進(jìn)程中預(yù)先分配好的指定內(nèi)存中；

在所述目標(biāo)進(jìn)程開始運(yùn)行并調(diào)用所述加載函數(shù)后，利用預(yù)先設(shè)定在所述指定內(nèi)存中的加載代碼調(diào)用所述加載函數(shù)的真實(shí)函數(shù)體，由所述加載函數(shù)的真實(shí)函數(shù)體將所述自定義DLL加載至所述目標(biāo)進(jìn)程；

其中，所述加載函數(shù)的真實(shí)函數(shù)體為在所述修改用于加載DLL的加載函數(shù)前所述加載函數(shù)中具有的函數(shù)體。

在第一方面的第一種可能的實(shí)施方式中，在所述目標(biāo)進(jìn)程開始運(yùn)行并調(diào)用所述加載函數(shù)之后，還包括：

檢測所述自定義DLL運(yùn)行時(shí)是否需要調(diào)用NTDLL以及依賴DLL，所述依賴DLL為所述自定義DLL運(yùn)行時(shí)所需要調(diào)用的非NTDLL的DLL；

若檢測結(jié)果為所述自定義DLL運(yùn)行時(shí)僅需要調(diào)用NTDLL，則直接執(zhí)行利用預(yù)先設(shè)定在所述指定內(nèi)存中的加載代碼調(diào)用所述加載函數(shù)的真實(shí)函數(shù)體，由所述加載函數(shù)的真實(shí)函數(shù)體將所述自定義DLL加載至所述目標(biāo)進(jìn)程的步驟。

結(jié)合第一方面或者第一方面的第一種可能的實(shí)施方式，在第二種可能的實(shí)施方式中，在所述檢測所述自定義DLL運(yùn)行時(shí)是否需要調(diào)用NTDLL以及依賴DLL之后，還包括：

若檢測結(jié)果為所述自定義DLL運(yùn)行時(shí)需要調(diào)用NTDLL以及依賴DLL，則判斷所述自定義DLL運(yùn)行時(shí)需要調(diào)用的所有依賴DLL是否全部被加載完；

若判斷結(jié)果為所述自定義DLL運(yùn)行時(shí)需要調(diào)用的所有依賴DLL全部被加載完，則直接執(zhí)行利用預(yù)先設(shè)定在所述指定內(nèi)存中的加載代碼調(diào)用所述加載函數(shù)的真實(shí)函數(shù)體，由所述加載函數(shù)的真實(shí)函數(shù)體將所述自定義DLL加載至所述目標(biāo)進(jìn)程的步驟；

若判斷結(jié)果為所述自定義DLL運(yùn)行時(shí)需要調(diào)用的所有依賴DLL未被全部加載完，則利用預(yù)先設(shè)定在所述指定內(nèi)存中的加載代碼調(diào)用所述加載函數(shù)的真實(shí)函數(shù)體，由所述加載函數(shù)的真實(shí)函數(shù)體加載所述目標(biāo)進(jìn)程中即將需要加載的DLL。

結(jié)合第一方面、第一方面的第一種可能的實(shí)施方式或者第一方面的第二種可能的實(shí)施方式，在第三種可能的實(shí)施方式中，所述判斷所述自定義DLL運(yùn)行時(shí)需要調(diào)用的所有依賴DLL是否全部被加載完，包括：

判斷預(yù)存的判斷列表中是否存在所述自定義DLL運(yùn)行時(shí)需要調(diào)用的所有的依賴DLL的名稱，其中，所述判斷列表中保存有已經(jīng)被加載至所述目標(biāo)進(jìn)程中的所述自定義DLL運(yùn)行時(shí)需要調(diào)用的依賴DLL的名稱；