导入表内注入代码（二）

核心提示： 200. VirtualProtectEx( hProcess,201. (LPVOID)(dwImageBase),202. pimage_nt_headers->OptionalHeader.SizeOfImage,203. PAGE_EXECUTE_READWRITE,204.

200. VirtualProtectEx( hProcess,
201. (LPVOID)(dwImageBase),
202. pimage_nt_headers->OptionalHeader.SizeOfImage,
203. PAGE_EXECUTE_READWRITE,
204. &OldProtect);
205.
206. WriteProcessMemory( hProcess,
207. (LPVOID)(dwImageBase),
208. pMem,
209. pimage_nt_headers->OptionalHeader.SizeOfImage,
210. &dwBytes);　

VirtualProtectEx()设置了页有权访问PAGE_EXECUTE_READWRITE保护类型。在WriteProcessMemory被使用时用PAGE_READWRITE访问和在executable page的情况下PAGE_EXECUTE都是必需的。

211. 现在进程准备解冻且生命期将再次启动，但是发生了那么多事。试一下about菜单项你将看见：图 13，这是注入生命期的第一个显示。

212. ResumeThread(hThread);

图 13 -运行时注入ShellAbout() Thunk

我正在考虑其他API thunks的注入，正如我们可以上载其他动态链接库到目标进程里并重定向victim thunk到之，这已在另一文章[3]完全解释了。下一节论述一点关于该实现（重定向技术）带来的灾难之一。你可以自己想像一下其他可能的灾难。

6. Troy horse（特洛伊木马）

总是阻止你浏览器上弹出（窗口）并关闭在你的Internet Explorer自动安装的Active-X控件及插件。它将进入到你的计算机的一个OLE 组件或一个小的DLL插件中以及进入到一个进程的生命期中。有时，这个生命期在一个指定进程的导入表中，比如Yahoo Messenger or MSN Messenger。它可以钩住所有Windows控件并过滤API，哦我的天！我e-mail的密码到哪里去了！这是用户级rootkit [7]的一种可能。它可以植入到你的计算机并偷走你的重要消息。