定义结构体的字节对齐要与参数一致，其次结构体字段顺序也要和函数参数入栈顺序一直

CreateRemoteThread的lpParameter是本进程中的地址，不是你WriteProcessMemory写入其他进程的地址

CreateRemoteThread的lpParameter是本进程中的地址，不是你WriteProcessMemory写入其他进程的地址

你是不是把本进程指针传过去了...
得先在目标进程开辟缓存,这个地址才是第二个参数
调用完成,结果会输出到这段缓存上,再ReadProcessMemory

再供参考：

/*

    Application:    Code Injection in Explorer

    Author:     @_RT

    Compiled on:    Feb 2014

    URL:http://www.codeproject.com/Tips/732044/Code-Injection-2



    We will see the different steps involved to perform a code injection into an already running process.



    Following are the quick steps through the process of injection.

    1.Get the API addresses that you will be calling from the injected code.

    2.Prepare shell code of your function that you want to get executed from the injected process.

    3.Get the process ID of the running process that you wish to inject into by enumerating through the

      list of processes or by finding the process's window (in case it's a GUI application) by class name or title.

    4.Open the process using its Pid with All Access rights.

    5.Allocate different memory spaces in the process that you are going to inject to with desired access

      rights for holding different segments of your shell code.

        Code part (executable instructions)

        Data part (strings, function parameters, etc.)

    6.Write the allocated memories with the respective values (code and data).

    7.Call CreateRemoteThread API and pass to it the start of allocated memory address where you have

      written your shell code from the process we are injecting.

*/



#include <windows.h>

#pragma comment(lib,"user32.lib")



LPVOID addr;

LPVOID addr2;



BOOL InjectExecutable(DWORD dwPid,LPVOID si,LPVOID pi,int sisize,int pisize)

{

    LPVOID hNewModule;

    HANDLE hProcess;

    CHAR S[]    = { "C:\\Windows\\system32\\notepad.exe" };

    BYTE byt[]  = {0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x01, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, 0x68};

                 //push  0   , push     0, push     0, push     1, push     0, push     0, push     0, push 0xXXXXXXXX

    BYTE byt2[] = {0xE8};//call 0xXXXXXXXX

    BYTE byt3[] = {0x68};//push 0xXXXXXXXX



    hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);

    if (hProcess == NULL)

    {

        return FALSE;

    }



    LPVOID staddr = VirtualAllocEx(hProcess, NULL, sizeof(S), MEM_COMMIT, PAGE_READWRITE);

    WriteProcessMemory(hProcess, staddr, S, sizeof(S), NULL);

    LPVOID fnaddr = VirtualAllocEx(hProcess, NULL, 4, MEM_COMMIT, PAGE_READWRITE);

    WriteProcessMemory(hProcess, fnaddr, pi, sisize, NULL);

    LPVOID fnaddr2 = VirtualAllocEx(hProcess, NULL, 4, MEM_COMMIT, PAGE_READWRITE);

    WriteProcessMemory(hProcess, fnaddr2, si, pisize, NULL);



    hNewModule = VirtualAllocEx(hProcess, NULL, 100, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    if (hNewModule == NULL)

    {

        return FALSE;

    }

    LPTHREAD_START_ROUTINE strtaddr = (LPTHREAD_START_ROUTINE)hNewModule;



    WriteProcessMemory(hProcess, hNewModule, byt3, sizeof(byt3), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(byt3));

    WriteProcessMemory(hProcess, hNewModule, &fnaddr, sizeof(fnaddr), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(fnaddr));                    // push &pi ;lpProcessInformation

    WriteProcessMemory(hProcess, hNewModule, byt3, sizeof(byt3), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(byt3));

    WriteProcessMemory(hProcess, hNewModule, &fnaddr2, sizeof(fnaddr2), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(fnaddr2));                   // push &si ;lpStartupInfo

    WriteProcessMemory(hProcess, hNewModule, byt, sizeof(byt), NULL);           // push 0 , push 0, push 0, push 1, push 0, push 0, push 0, push 0xXXXXXXXX==&S[0];"C:\\Windows\\system32\\notepad.exe"

    hNewModule = (LPVOID)((int)hNewModule + sizeof(byt));                       // lpCurrentDirectory,lpEnvironment,dwCreationFlags,bInheritHandles,lpThreadAttributes,lpProcessAttributes,lpCommandLine,lpApplicationName

    WriteProcessMemory(hProcess, hNewModule, &staddr, sizeof(staddr), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(staddr));

    WriteProcessMemory(hProcess, hNewModule, byt2, sizeof(byt2), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(byt2));                      // call CreateProcessA

    addr = (LPVOID)((int)addr - ((int)hNewModule + 4));

    WriteProcessMemory(hProcess, hNewModule, &addr, sizeof(addr), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(addr));

    WriteProcessMemory(hProcess, hNewModule, byt, 2, NULL);

    hNewModule = (LPVOID)((int)hNewModule + 2);                                 // push 0 ;DWORD dwExitCode   // exit code for this thread

    WriteProcessMemory(hProcess, hNewModule, byt2, sizeof(byt2), NULL);

    hNewModule = (LPVOID)((int)hNewModule + sizeof(byt2));                      // call ExitThread

    addr2 = (LPVOID)((int)addr2 - ((int)hNewModule + 4));

    WriteProcessMemory(hProcess, hNewModule, &addr2, sizeof(addr2), NULL);



    CreateRemoteThread(hProcess, 0, 0, strtaddr, NULL, 0, NULL);

    return TRUE;

}



int main()

{

    _STARTUPINFOA si;

    PROCESS_INFORMATION pi;



    ZeroMemory(&si, sizeof(si));

    si.cb = sizeof(si);

    ZeroMemory(&pi, sizeof(pi));



    DWORD dwPid;

    HMODULE ldlib = LoadLibraryA("Kernel32.dll");

    addr = GetProcAddress(ldlib, "CreateProcessA");

    addr2 = GetProcAddress(ldlib, "ExitThread");

    HWND hWnd1=FindWindow(NULL, "Program Manager");

    if (NULL==hWnd1) {

        return 1;

    }

    GetWindowThreadProcessId(hWnd1, &dwPid);



    InjectExecutable(dwPid,&si,&pi,sizeof(si),sizeof(pi));



    return 0;

}

看过和嚼过咽了吸收为自己的能力还是有那么一丢丢区别的。

搜“堆栈平衡”

Quote: 引用 6 楼 lescper2011 的回复:

Quote: 引用 5 楼 paschen 的回复:

CreateRemoteThread的lpParameter是本进程中的地址，不是你WriteProcessMemory写入其他进程的地址

IpParameter 是本进程中的地址？就是说不需要写入目标程序，在自己的程序分配空间就可以？调用目标程序是不对的是吧？

说错了，是目标进程的地址，你检查下各函数是否执行成功

没必要纠结于这个函数调用，你试试用结构体指针解决，这样更方便解决

Quote: 引用 19 楼 lescper2011 的回复:

Quote: 引用 18 楼 zhao4zhong1 的回复:

搜“堆栈平衡”

想放弃了

计算机组成原理→DOS命令→汇编语言→C语言（不包括C++）、代码书写规范→数据结构、编译原理、操作系统→计算机网络、数据库原理、正则表达式→其它语言（包括C++）、架构……

dll 导出函数名的那些事
关键字：　VC++ 　DLL  导出函数　
经常使用VC6的Dependency查看DLL导出函数的名字，会发现有DLL导出函数的名字有时大不相同，导致不同的原因大多是和编译DLL时候指定DLL导出函数的界定符有关系。
VC++支持两种语言：即C/C++，这也是造成DLL导出函数差异的根源
我们用VS2008新建个DLL工程，工程名为"TestDLL"
把默认的源文件后缀 .CPP改为.C（C文件）
输入测试代码如下：
01 int _stdcall MyFunction(int iVariant)
02 {
03 return 0;
04 }
为了导出上面这个函数，我们有以下几个方法：
1. 使用传统的模块定义文件 (.def)
新建一个 后缀为.def的文本文件(这里建一个TestDll.Def)，文件内容为：
LIBRARY TestDll
EXPORTS
MyFunction
在 Link 时指定输入依赖文件：/DEF:"TestDll.Def"
2. Visual C++ 提供的方便方法
在01行的int 前加入 __declspec(dllexport) 关键字
通过以上两种方法，我们就可以导出MyFunction函数。
我们用Dependency查看导出的函数：
第一种方法导出的函数为：
MyFunction
第二种方法导出的函数为：
_MyFunction@4
__stdcall会使导出函数名字前面加一个下划线，后面加一个@再加上参数的字节数，比如_MyFunction@4的参数（int iVariant）就是4个字节
__fastcall与 __stdcall类似，不过前面没有下划线，而是一个@，比如@MyFunction@4
__cdecl则是始函数名。
小结：如果要导出C文件中的函数，并且不让编译器改动函数名，用def文件导出函数。
下面我们来看一下C++文件
我们用VS2008新建个DLL工程，工程名为"TestDLL"
默认的源文件后缀为 .CPP （即C++文件）。
输入测试代码如下：
01 int _stdcall MyFunction(int iVariant)
02 {
03 return 0;
04 }
为了导出上面这个函数，我们有以下几个方法：
3. 使用传统的模块定义文件 (.def)
新建一个 后缀为.def的文本文件(这里建一个TestDll.Def)，文件内容为：
LIBRARY TestDll
EXPORTS
MyFunction
在 Link 时指定输入依赖文件：/DEF:"TestDll.Def"
4. Visual C++ 提供的方便方法
在01行的int 前加入 __declspec(dllexport) 关键字
通过以上两种方法，我们就可以导出MyFunction函数。
我们用Dependency查看导出的函数：
第一种方法导出的函数为：
MyFunction
第二种方法导出的函数为：
?MyFunction@@YGHH@Z
可以看到 第二种方法得到的 导出函数名 并不是我们想要的，如果在exe中用显示方法（LoadLibrary、GetProcAddress）调用 MyFunction 肯定会失败。
但是用引入库(*.LIB)的方式调用，则编译器自动处理转换函数名，所以总是没有问题。
解决这个问题的方法是：
用VC 提供的预处理指示符 "#pragma" 来指定链接选项。
如下：
#pragma comment(linker, "/EXPORT:MyFunction=?MyFunction@@YGHH@Z")
这时，就会发现导出的函数名字表中已经有了我们想要的MyFunction。但我们发现原来的那个 ?MyFunction@@YGHH@Z 函数还在，这时就可以把 __declspec() 修饰去掉，只需要 pragma 指令即可。
而且还可以使如下形式：
#pragma comment(linker, "/EXPORT:MyFunction=_MyFunction@4,PRIVATE")
PRIVATE 的作用与其在 def 文件中的作用一样。更多的#pragram请查看MSDN。
小结：如果要导出C++文件中的函数，并且不让编译器改动函数名，用def文件导出函数。
同时可以用#pragma指令（C 中也可以用）。
总结：
C++编译器在生成DLL时，会对导出的函数进行名字改编，并且不同的编译器使用的改编规则不一样，因此改编后的名字也是不同的（一般涉及到C++ 中的重载等）。
如果利用不同编译器分别生成DLL和访问DLL的exe程序，后者在访问该DLL的导出函数时就会出现问题。如上例中函数MyFunction在C++编译器改编后的名字是?MyFunction@@YGHH@Z。我们希望编译后的名字不发生改变，这里有几种方法。
第一种方法是通过一个称为模块定义文件DEF来解决。
LIBRARY TestDll
EXPORTS
MyFunction
LIBRARY 用来指定动态链接库内部名称。该名称与生成的动态链接库名一定要匹配，这句代码不是必须的。
EXPORTS说明了DLL将要导出的函数，以及为这些导出函数指定的符号名。
第二种是定义导出函数时加上限定符：extern "C"
如：#define DLLEXPORT_API extern "C" _declspec(dllexport)
但extern "C"只解决了C和C++语方之间调用的问题(extern "C" 是告诉编译器，让它按C的方式编译)，它只能用于导出全局函数这种情况 而不能导出一个类的成员函数。
同时如果导出函数的调用约定发生改变，即使使用extern "C"，编译后的函数名还是会发生改变。例如上面我们加入_stdcall关键字说明调用约定（标准调用约定，也就是WINAPI调用约定）。
#define DLLEXPORT_API extern "C" _declspec(dllexport)
01 DLLEXPORT_API int _stdcall MyFunction(int iVariant)
02 {
03 return 0;
04 }
编译后函数名MyFunction改编成了_MyFunction@4
通过第一种方法模块定义文件的方式DLL编译后导出函数名不会发生改变。
DLL(动态库)导出函数名乱码含义
C++编译时函数名修饰约定规则：
  __stdcall调用约定：
  1、以"?"标识函数名的开始，后跟函数名；

  2、函数名后面以"@@YG"标识参数表的开始，后跟参数表；

  3、参数表以代号表示：
  X--void
  D--char
  E--unsigned char
  F--short
  H--int
  I--unsigned int
  J--long
  K--unsigned long
  M--float
  N--double
  _N--bool
  ....
  PA--表示指针，后面的代号表明指针类型，如果相同类型的指针连续出现，以"0"代替，一个"0"代表一次重复；
  4、参数表的第一项为该函数的返回值类型，其后依次为参数的数据类型,指针标识在其所指数据类型前；

  5、参数表后以"@Z"标识整个名字的结束，如果该函数无参数，则以"Z"标识结束。
  其格式为"?functionname@@YG*****@Z"或"?functionname@@YG*XZ"，例如
                      int Test1(char *var1, unsigned long)-----"?Test1@@YGHPADK@Z"                      void Test2()-----"?Test2@@YGXXZ"

  __cdecl调用约定：
  规则同上面的_stdcall调用约定，只是参数表的开始标识由上面的"@@YG"变为"@@YA"。
  __fastcall调用约定：
  规则同上面的_stdcall调用约定，只是参数表的开始标识由上面的"@@YG"变为"@@YI"。
  如果要用DEF文件输出一个"C++"类，则把要输出的数据和成员的修饰名都写入.def模块定义文件
  所以...   通过def文件来导出C++类是很麻烦的,并且这个修饰名是不可避免的

Quote: 引用 27 楼 lescper2011 的回复:

……
大哥你能不能真的帮我调试一下，struct如何保存这4个参数

收费，人民币1000，支付宝:zhao4zhong1@163.com QQ:511606848

Quote: 引用 27 楼 lescper2011 的回复:

……
大哥你能不能真的帮我调试一下，struct如何保存这4个参数

收费，人民币1000，支付宝:zhao4zhong1@163.com QQ:511606848

Quote: 引用 29 楼 lescper2011 的回复:

Quote: 引用 28 楼 zhao4zhong1 的回复:

Quote: 引用 27 楼 lescper2011 的回复:

……
大哥你能不能真的帮我调试一下，struct如何保存这4个参数

收费，人民币1000，支付宝:zhao4zhong1@163.com QQ:511606848

已付

已调好

Quote: 引用 29 楼 lescper2011 的回复:

Quote: 引用 28 楼 zhao4zhong1 的回复:

Quote: 引用 27 楼 lescper2011 的回复:

……
大哥你能不能真的帮我调试一下，struct如何保存这4个参数

收费，人民币1000，支付宝:zhao4zhong1@163.com QQ:511606848

已付

已调好