基于LoadLibrary内核远程线程DLL注入技术详解.pdf

线程注入是最常用的一种注入技术，在应用层注入是通过CreateRemoteThread这个函数实现的，该

函数通过创建线程并调用LoadLibrary动态加载指定的DLL来实现注入，而在内核层同样存在一个类似

的内核函数RtlCreateUserThread，但需要注意的是此函数未被公开，RtlCreateUserThread实际上

是NtCreateThreadEx的封装，但最终会调用ZwCreateThread来实现注入，RtlCreateUserThread

是CreateRemoteThread的底层实现。

基于LoadLibrary实现的注入原理可以具