我使用CreateRemoteThread api将dll注入进程。这在进程运行状态时有效。但是如果我使用CreateProcess api在挂起状态下启动进程并尝试向其中注入一个dll,则dll注入不起作用。但是如果我使用没有挂起标志的createprocess,那么我可以注入dll。 谁能告诉我这个问题的解决方案?
答案 0 :(得分:1)
我遇到了类似的情况。不知道确切的根本原因,我建议你尝试使用QueueUserAPC api进行注射。
答案 1 :(得分:0)
它无法工作,因为创建带有挂起标志的进程,仅加载ntdll.dll。 kernal32.dll尚未加载,因此您不能在远程挂起的进程中使用createprocess调用LoadLibrary(在kernal32.dll中)。 但是您可以改为使用LdrLoadDll(位于ntdll.dll中)。 您也可以将QueueUserAPC与LdrLoadDll一起使用。会很好〜