创建远程线程 - CreateRemoteThread

函数简介

在指定的窗口所在进程中创建一个线程。此函数可以在目标进程中创建新线程来执行代码，常用于进程注入、代码注入等高级系统编程场景。

接口名称

CreateRemoteThread

DLL调用

long CreateRemoteThread(long instance, long hwnd, long lpStartAddress, long lpParameter, int dwCreationFlags, long* lpThreadId)

参数说明

参数名	类型	说明
instance	长整数型	OLAPlug对象的指针，由 CreateCOLAPlugInterFace 接口生成。
hwnd	长整数型	窗口句柄或者进程ID
lpStartAddress	长整数型	线程入口地址
lpParameter	长整数型	线程参数
dwCreationFlags	整数型	创建标志，控制线程的创建方式
lpThreadId	长整数型指针	返回线程ID的指针

示例

// 在目标进程中创建简单线程
long target_hwnd = FindWindow(ola, "Notepad", "");
if (target_hwnd != 0) {
    long thread_id = 0;
    long start_address = 0x10000000; // 线程入口地址
    long parameter = 123; // 线程参数
    
    long thread_handle = CreateRemoteThread(ola, target_hwnd, start_address, parameter, 0, &thread_id);
    if (thread_handle != 0) {
        printf("远程线程创建成功，线程ID: %ld\n", thread_id);
        
        // 等待线程完成
        // ...
        
        // 关闭线程句柄
        CloseHandle(ola, thread_handle);
    } else {
        printf("远程线程创建失败\n");
    }
}

// 使用进程ID创建远程线程
long process_id = GetWindowProcessId(ola, target_hwnd);
if (process_id != 0) {
    long thread_id = 0;
    long start_address = 0x20000000;
    long parameter = 456;
    
    long thread_handle = CreateRemoteThread(ola, process_id, start_address, parameter, 0, &thread_id);
    if (thread_handle != 0) {
        printf("使用进程ID创建线程成功，线程ID: %ld\n", thread_id);
        CloseHandle(ola, thread_handle);
    }
}

// 创建挂起状态的线程
long target_hwnd = FindWindow(ola, "Calculator", "");
if (target_hwnd != 0) {
    long thread_id = 0;
    long start_address = 0x30000000;
    long parameter = 789;
    int creation_flags = CREATE_SUSPENDED; // 创建挂起状态的线程
    
    long thread_handle = CreateRemoteThread(ola, target_hwnd, start_address, parameter, creation_flags, &thread_id);
    if (thread_handle != 0) {
        printf("挂起线程创建成功，线程ID: %ld\n", thread_id);
        
        // 恢复线程执行
        // ResumeThread(ola, thread_handle);
        
        CloseHandle(ola, thread_handle);
    }
}

// 批量创建多个线程
long target_hwnd = FindWindow(ola, "TargetApp", "");
if (target_hwnd != 0) {
    long thread_handles[5];
    long thread_ids[5];
    
    for (int i = 0; i < 5; i++) {
        long start_address = 0x10000000 + i * 0x1000;
        long parameter = i * 100;
        
        thread_handles[i] = CreateRemoteThread(ola, target_hwnd, start_address, parameter, 0, &thread_ids[i]);
        if (thread_handles[i] != 0) {
            printf("线程 %d 创建成功，ID: %ld\n", i, thread_ids[i]);
        }
    }
    
    // 等待所有线程完成
    // ...
    
    // 关闭所有线程句柄
    for (int i = 0; i < 5; i++) {
        if (thread_handles[i] != 0) {
            CloseHandle(ola, thread_handles[i]);
        }
    }
}

返回值

长整数型:

成功返回线程句柄
失败返回0

注意事项

创建远程线程需要相应的进程权限
线程入口地址必须在目标进程的地址空间内有效
建议在不再需要线程句柄时调用CloseHandle关闭
创建挂起状态的线程可以使用CREATE_SUSPENDED标志
线程参数会传递给线程函数作为参数
此函数适用于进程注入、代码注入等高级应用
使用不当可能导致目标进程崩溃或系统不稳定
建议在测试环境中充分验证后再用于生产环境