#include <Windows.h>
#include <tlhelp32.h>
#include <iostream>
#include <stdio.h>
#include <string>
#include <winsock.h>
#include <tlhelp32.h>
//#include <shlwapi.h>
//#include <intercpt.h>
using namespace std;
/*
call @delta
@delta:
pop eax
sub eax,offset @delta
mov esi,offset retrnData; патчим 5 байт(затираем джамп)
add esi,eax; выравнивание на дельта смещение
mov edi, 0ffffffffh
mov ecx,5
rep movsb
push offset buf
add [esp],eax; выравнивание на дельта смещение
db 0e8h; сall
callofst DWORD 0h; делаем лоад лайбри
db 0e9h; jmp
jmpofst DWORD 0h; прыгаем обратно <img src="http://s5.ucoz.net/sm/23/smile.gif" border="0" align="absmiddle" alt="smile" />
retrnData db 5 dup(0)
buf db "E:\\123.dll",0h
*/
char LoadLibCode[] =
"\xe8\x00\x00\x00\x00\x58\x2d\x05\x10\x40\x00\xbe\x30\x10\x40\x00" // тоже что и выше но скомпиленное
"\x03\xf0\xbf\xff\xff\xff\xff\xb9\x05\x00\x00\x00\xf3\xa4\x68\x35"
"\x10\x40\x00\x01\x04\x24\xe8\x00\x00\x00\x00\xe9\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00";
const int CallOffset = 0x027;
const int JmpOffset = 0x02c;
const int FiveBytes = 0x030;
const int WriteOfst = 0x013;
const int DllPath = 0x035;
DWORD GetProccessID(string ProcName){ // получить айди процесса
HANDLE hSnapshot;
PROCESSENTRY32 Entry;
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
Entry.dwSize = sizeof(Entry);
if(Process32First(hSnapshot,&Entry))
{
CHAR szProcessName[MAX_PATH] = "";
WideCharToMultiByte(CP_ACP, 0, Entry.szExeFile, -1,
szProcessName, MAX_PATH, NULL, NULL);
if (!strcmp(ProcName.c_str(),szProcessName))
{
return Entry.th32ProcessID;
}
while(Process32Next(hSnapshot,&Entry))
{
WideCharToMultiByte(CP_ACP, 0, Entry.szExeFile, -1,
szProcessName, MAX_PATH, NULL, NULL);
if (!strcmp(ProcName.c_str(),szProcessName))
{
return Entry.th32ProcessID;
}
}
}
return 0;
}
void EnableDebugPriv() // привелегии дебагера
{
HANDLE hToken;
LUID sedebugnameValue;
TOKEN_PRIVILEGES tkp;
if ( ! OpenProcessToken( GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )
return;
if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ){
CloseHandle( hToken );
return;
}
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
CloseHandle( hToken );
}
void RemoteLoadLibrary(DWORD PID, string DLLName)
{
HANDLE h = OpenProcess(PROCESS_ALL_ACCESS,false,PID);// открываем хендел
LPVOID ShellCodeAddr = VirtualAllocEx(h, 0, sizeof(LoadLibCode) + 1, MEM_COMMIT,PAGE_READWRITE);// выделяем место для шелл кода
cout << "Shell Code " << ShellCodeAddr << "\r\n";// выводим на екран адресс
LPVOID FuncAddr = GetProcAddress(GetModuleHandleA("kernel32.dll"),"LoadLibraryA");// получаем адресс LoadLibrary
DWORD nw = 0;
LPVOID hookFuncAddr = GetProcAddress(GetModuleHandleA("ntdll.dll"),"RtlLeaveCriticalSection");// получаем адресс RtlLeaveCriticalSection
cout<< "API Func " << hookFuncAddr << "\r\n";
DWORD JmpAdr = (DWORD)ShellCodeAddr - (DWORD)hookFuncAddr - 5; //высчитываем джамп
char JMP[] = "\xE9";
DWORD OldProtect = 0;
char FunctionFiveBytes[5] = "";
VirtualProtectEx(h, hookFuncAddr,5,PAGE_EXECUTE_READWRITE,&OldProtect);
ReadProcessMemory(h, hookFuncAddr, FunctionFiveBytes, 5,&nw);// чтаем оригинальные 5 байт функции
MoveMemory(LoadLibCode + FiveBytes, FunctionFiveBytes, 5); // патчим оригинальные 5 байт в шелл код
DWORD CallAdr = (DWORD)FuncAddr - ((DWORD)ShellCodeAddr + CallOffset - 1) - 5; // высчитываем адрес прыжка(call)
MoveMemory(LoadLibCode + CallOffset,&CallAdr,4); //записываем call на LoadLibrary в шелл код
DWORD RetAddr = (DWORD)hookFuncAddr - ((DWORD)ShellCodeAddr + JmpOffset - 1) - 5; // считаем джамп назад на функцию
MoveMemory(LoadLibCode + JmpOffset,&RetAddr,4); // патчим джамп назад на функцию
DWORD MoveOfst = (DWORD)hookFuncAddr;
MoveMemory(LoadLibCode + WriteOfst,&MoveOfst,4); // патчим адресс по которому нужно записать обратно 5 байт функции(начало функции)
MoveMemory(LoadLibCode + DllPath,DLLName.c_str(),DLLName.length());// патчим путь к дллке
WriteProcessMemory(h, ShellCodeAddr, LoadLibCode, sizeof(LoadLibCode),&nw); // записываем шелл код
err = GetLastError();
DWORD id = 0;
WriteProcessMemory(h, hookFuncAddr, JMP, 1,&nw); // записываем джамп <img src="http://s5.ucoz.net/sm/23/smile.gif" border="0" align="absmiddle" alt="smile" />
err = GetLastError();
WriteProcessMemory(h, (LPVOID)((DWORD)hookFuncAddr + 1), &JmpAdr, 4,&nw);
err = GetLastError();
CloseHandle(h); // закрываем хендел и наблюдаем за результатом
}
int main()
{
DWORD PID = GetProccessID("winlogon.exe");
EnableDebugPriv();
RemoteLoadLibrary(PID,"E:\\3333.dll");
cout << PID << "\r\n";
cout << "C:\\123.dll";
getchar();
return 0;
}
), а т.е код блокируется для выполнения в других потоках, да и функция RtlLeaveCriticalSection очень часто вызывается, поэтому не приходится ждать результата 
И как теперь обойти данную проблему?