内核中通过给线程插apc注入dll

最新推荐文章于 2024-02-28 11:30:00 发布
最新推荐文章于 2024-02-28 11:30:00 发布
阅读量7.8k 收藏 6
点赞数 
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2);
void ApcLoadDllEnd();
PMDL pMdl = NULL;
void ApcKernelRoutine( IN struct _KAPC *Apc, 
					  IN OUT PKNORMAL_ROUTINE *NormalRoutine, 
					  IN OUT PVOID *NormalContext, 
					  IN OUT PVOID *SystemArgument1, 
					  IN OUT PVOID *SystemArgument2 ) 
{
	if (Apc)
		ExFreePool(Apc);
	if(pMdl)
	{
		MmUnlockPages(pMdl);
		IoFreeMdl (pMdl);
		pMdl = NULL;
	}
	DbgPrint("ApcKernelRoutine called. Memory freed.");
}
VOID AddApcIngectDll(LPSTR DllFullPath, PETHREAD Thread,ULONG pTargetProcess,void *LoadLibraryWAddr)
{
	PRKAPC pApc = NULL; 
	PVOID pMappedAddress = NULL; 
	ULONG dwSize = 0;
	KAPC_STATE ApcState; 
	int *p=NULL;

	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	if ( MmIsAddressValid((PVOID)Thread) == TRUE)
	{
		pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
		if (!pApc)
		{
			DbgPrint("Failed to allocate memory for the APC structure");
			return ;
		}
		dwSize = 386;//这个长度是我们写的大片的nop
		pMdl = IoAllocateMdl (ApcLoadDll, dwSize, FALSE,FALSE,NULL);
		if (!pMdl)
		{
			DbgPrint(" Failed to allocate MDL");
			ExFreePool (pApc);
			return STATUS_INSUFFICIENT_RESOURCES;
		}
		__try
		{
			MmProbeAndLockPages (pMdl,KernelMode,IoWriteAccess);
		}
		__except (EXCEPTION_EXECUTE_HANDLER)
		{
			DbgPrint("Exception during MmProbeAndLockPages");
			IoFreeMdl (pMdl);
			ExFreePool (pApc);
			return STATUS_UNSUCCESSFUL;
		}
		KeStackAttachProcess((ULONG *)pTargetProcess,&ApcState);//进入目标进程的上下文
		pMappedAddress = MmMapLockedPagesSpecifyCache (pMdl,UserMode,MmCached,NULL,FALSE,NormalPagePriority);//把分配好的内存映射进目标进程里面
		if (!pMappedAddress)
		{
			DbgPrint("Cannot map address");
			KeUnstackDetachProcess (&ApcState);
			IoFreeMdl (pMdl);
			ExFreePool (pApc);
			return STATUS_UNSUCCESSFUL;
		}
		else 
			DbgPrint("UserMode memory at address: 0x%p",pMappedAddress);
		wcscpy ((unsigned char*)pMappedAddress + 0x16, DllFullPath);//将dll路径拷贝到目标进程空间
		p=(int*)((unsigned char*)pMappedAddress+6);
		*p=(int)((unsigned char*)pMappedAddress + 0x16);
		p=(int*)((unsigned char*)pMappedAddress+1);
		*p=LoadLibraryWAddr;
		KeUnstackDetachProcess (&ApcState); //恢复咱原来的上下文
		//初始化APC,插APC
		KeInitializeApc(pApc,
			(PETHREAD)Thread,
			OriginalApcEnvironment,
			&ApcKernelRoutine,
			NULL,
			(PKNORMAL_ROUTINE)pMappedAddress,
			UserMode,
			(PVOID) NULL);
		if (!KeInsertQueueApc(pApc,0,NULL,0))
		{
			DbgPrint("KernelExec -> Failed to insert APC");
			MmUnlockPages(pMdl);
			IoFreeMdl (pMdl);
			ExFreePool (pApc);
			return STATUS_UNSUCCESSFUL;
		}
		else
		{
			DbgPrint("APC delivered");
		}
		//使线程处于警告状态,注意不同操作系统的ETHREAD
		if(!*(char *)((char *)Thread+0x4a))
		{
			*(char *)((char *)Thread+0x4a) = TRUE;
		}
	}
}

//枚举指定进程的线程
NTSTATUS IngectDll(PEPROCESS Process,LPSTR DllFullPath,void *LoadLibraryWAddr)
{
	ULONG i;
	PETHREAD txtd;
	PEPROCESS txps;
	NTSTATUS st = STATUS_UNSUCCESSFUL;
	for (i=8;i<=65536;i=i+4)
	{
		st = PsLookupThreadByThreadId(i,&txtd);
		if ( NT_SUCCESS(st) )
		{
			txps=IoThreadToProcess(txtd); 
			if ( txps == Process )    
			{
				AddApcIngectDll(DllFullPath, txtd,Process,LoadLibraryWAddr);
				return STATUS_SUCCESS;      //只需要枚举一个线程就够了。因为我们注入dll只需要调用一次

			}
		}
	}
	return STATUS_SUCCESS;
}
__declspec(naked) void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2)
{
	__asm 
	{       
		mov eax,0xabcdef //LoadLibraryW的地址这是是需要复制到目标进程空间之后再赋值的
			push 0xabcdef //这是是需要复制到目标进程空间之后再赋值的
			call eax
			jmp end
			nop //分配内存
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
end:
		ret 0x0c
	}
}


sgzwiz
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
APC注入测试源码C++
12-19
一个对APC注入进行学习测试的例子,可以在用户态下执行。但是对系统进程仍无法进行注入,不清楚是权限问题还是其他的问题。 工程在vs2012下编译测试成功。 共有三个工程 1、ApcInject 实现Apc注入功能 2、InjectTest 被注入的程序,点击确定->start后,进入sleep,线程进入Alertable状态。此时可以对线程APC队列进行入。 3、testdll 注入到InjectTest.exedll,成功加载后弹出一个对话框。
漫谈兼容内核[pdf]
06-29
01.漫谈兼容内核之一:Wine的系统结构.pdf 02.漫谈兼容内核之二:关于kernel-win32的对象管理.pdf 03.漫谈兼容内核之三:关于kernel-win32的文件操作.pdf 04.漫谈兼容内核之四:Kernel-win32的进程管理.pdf 05.漫谈兼容内核之五:Kernel-win32的系统调用机制.pdf 06.漫谈兼容内核之六:二进制映像的类型识别.pdf 07.漫谈兼容内核之七:Wine的二进制映像装入和启动.pdf 08.漫谈兼容内核之八:ELF映像的装入(一).pdf 09.漫谈兼容内核之九:ELF映像的装入(二).pdf 10.漫谈兼容内核之十:Windows的进程创建和映像装入.pdf 11.漫谈兼容内核之十一:Windows_DLL的装入和连接.pdf 12.漫谈兼容内核之十二:Windows的APC机制.pdf 13.漫谈兼容内核之十三:关于“进程挂靠”.pdf 14.漫谈兼容内核之十四:Windows的跨进程操作.pdf 15.漫谈兼容内核之十五:Windows线程的等待和唤醒机制.pdf 16.漫谈兼容内核之十六:Windows的进程间通信.pdf 17.漫谈兼容内核之十七:再谈windows的进程创建.pdf 18.漫谈兼容内核之十八:Windows的LPC机制.pdf 19.漫谈兼容内核之十九:Windows线程间的强相互作用.pdf 20.漫谈兼容内核之二十:Windows线程的系统空间堆栈.pdf 21.漫谈兼容内核之二十一:Windows进程的用户空间.pdf 22.漫谈兼容内核之二十二:Windows线程的调度和运行.pdf 23.漫谈兼容内核之二十三:关于TLS.pdf 24.漫谈兼容内核之二十四:Windows的结构化异常处理(一).pdf 25.漫谈兼容内核之二十五:Windows的结构化异常处理(二).pdf 26.漫谈兼容内核之二十六:Windows的结构化异常处理(三).pdf
Windows 动态注入(远程线程、消息钩子、APC
wangluoanquan111的博客
02-28 942
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…一个比较关键的问题是创建的远程线程是在目标进程执行,无法调用本地函数,因此要利用系统API实现加载dll文件的操作。
Windows之漫谈兼容内核
12-26
漫谈兼容内核之一:ReactOS怎样实现系统调用 漫谈兼容内核之二:关于kernel-win32的对象管理 漫谈兼容内核之三:Kernel-win32的文件操作 漫谈兼容内核之四:Kernel-win32的进程管理 漫谈兼容内核之五:Kernel-win32的系统调用机制 漫谈兼容内核之六:二进制映像的类型识别 漫谈兼容内核之七:Wine的二进制映像装入和启动 漫谈兼容内核之八:ELF映像的装入(一) 漫谈兼容内核之九:ELF映像的装入(二) 漫谈兼容内核之十:Windows的进程创建和映像装入 漫谈兼容内核之十一:Windows DLL的装入和连接 漫谈兼容内核之十二:Windows的APC机制 漫谈兼容内核之十三:关于“进程挂靠” 漫谈兼容内核之十四:Windows的跨进程操作 漫谈兼容内核之十五:Windows线程的等待、唤醒机制 漫谈兼容内核之十六:Windows的进程间通信 漫谈兼容内核之十七:再谈Windows的进程创建 漫谈兼容内核之十八:Windows的LPC机制 漫谈兼容内核之十九:Windows线程间的强相互作用 漫谈兼容内核之二十:Windows线程的系统空间堆栈 漫谈兼容内核之二十一:Windows进程的用户空间 漫谈兼容内核之二十二:Windows线程的调度和运行 漫谈兼容内核之二十三:关于TLS 漫谈兼容内核之二十四:Windows的结构化异常处理(一) 漫谈兼容内核之二十五:Windows的结构化异常处理(二) 漫谈兼容内核之二十六:Windows的结构化异常处理(三)
Kinject-x64:Kinject - 内核 dll 注入器,目前提供 x86 版本,即将更新到 x64
06-13
Kinject-x64 Kinject - 内核 dll 注入器,目前在 x86 版本可用,很快将更新到 x64。 在这里你可能只找到驱动程序,应用程序本身将在我完成 x64 版本后发布。 驱动程序的基本结构: 找到一个线程来劫持。 打开目标进程。 打开目标线程。 附加到目标进程的地址空间。 在目标进程的地址空间分配内存。 将 DLL 名称和 APC 例程复制到目标进程的地址空间。 将 ApcState.UserApcPending 设置为 TRUE 以强制目标线程执行 APC 例程。 从非分页池分配一个 APC 对象。 初始化APC入到目标线程。//KeInitializeApc,KeInsertQueueApc 目标线程在目标进程的地址空间执行 APC 例程。 APC 例程调用 LdrLoadDll 来加载 DLL。 等待 APC 例程完成。 释放分
DLL驱动级注入源码
10-16
DLL驱动级注入C++源码,都懂的,驱动级拥有系统最高权限,可以注入任意游戏。
Dll 注入 —— APC
LYSM
06-28 634
背景 APC,即异步过程调用(Asynchronous Procedure Call)是函数(过程)在特定线程被异步执行。在Microsoft Windows操作系统APC是一种并发机制,用于异步IO或者定时器。 每一个线程都有自己的APC队列,可以使用QueueUserAPC函数把一个APC函数压入APC队列。当用户模式的APC压入线程APC队列后,该线程并不直接调用APC函数,除非该线程是处于可通知状态,调用的顺序为先入先出(FIFO)。 函数介绍 QueueUserAPC // 如果函数成功,
第五章 进程注入APC注入(附源码)
test\\的博客
12-01 1595
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程APC队列
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 719
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过Sysmon和ETW的通用方法,我们对其进行了跟踪研究。4月8日,...
Windows下基础免杀技术
MachineGunJoe666
09-04 1386
例如,CS可以直接生成各种格式的shellcode。
漫谈兼容内核.7z
08-21
谈兼容内核之一:ReactOS怎样实现系统调用.pdf 漫谈兼容内核之二:关于kernel -win32的对象管理.pdf 漫谈兼容内核之三:关于kernel-win32的文件操作.pdf 漫谈兼容内核之四:Kernel-win32的进程管理.pdf 漫谈兼容内核之五:Kernel-win32的系统调用机制.pdf 漫谈兼容内核之六:二进制映像的类型识别.pdf 漫谈兼容内核之七:Wine的二进制映像装入和启动.pdf 漫谈兼容内核之八:ELF映像的装入_一_.pdf 漫谈兼容内核之九:ELF映像的装入_二_.pdf 漫谈兼容内核之十:Windows的进程创建和映像装入.pdf 漫谈兼容内核之十一:Windows DLL的装入和连接.pdf 漫谈兼容内核之十 二:Windows的APC机制.pdf 漫谈兼容内核之十三:关于“进程挂靠”.pdf 漫谈兼容内核之十四:Windows的跨进程操作.pdf 漫谈兼容内核之十五:Windows线程的等待和唤醒机制.pdf 漫谈兼容内核之十六:Windows的进程间通信.pdf 漫谈兼容内核之十七:再谈Windows的进程创建.pdf 漫谈兼容内核之十八:Windows的LPC机制.pdf 漫谈兼容内核之十九:Windows线程间的强相互作用.pdf 漫谈兼容内核之二十:Windows线程的系统空间堆栈.pdf 漫谈兼容内核之二十一:Windows进程的用户空间.pdf 漫谈兼容内核之二十二:Windows线程的调度和运行.pdf 漫谈兼容内核之二十三:关于TLS.pdf 漫谈兼容内核之二十四:Windows的结构化异常处理(一).pdf 漫谈兼容内核之二十五:Windows的结构化异常处理(二).pdf 漫谈兼容内核之二十六:Windows的结构化异常处理(三).pdf
漫谈兼容内核
11-24
01.漫谈兼容内核之一:Wine的系统结构.pdf 02.漫谈兼容内核之二:关于kernel-win32的对象管理.pdf 03.漫谈兼容内核之三:关于kernel-win32的文件操作.pdf 04.漫谈兼容内核之四:Kernel-win32的进程管理.pdf 05.漫谈兼容内核之五:Kernel-win32的系统调用机制.pdf 06.漫谈兼容内核之六:二进制映像的类型识别.pdf 07.漫谈兼容内核之七:Wine的二进制映像装入和启动.pdf 08.漫谈兼容内核之八:ELF映像的装入(一).pdf 09.漫谈兼容内核之九:ELF映像的装入(二).pdf 10.漫谈兼容内核之十:Windows的进程创建和映像装入.pdf 11.漫谈兼容内核之十一:Windows_DLL的装入和连接.pdf 12.漫谈兼容内核之十二:Windows的APC机制.pdf 13.漫谈兼容内核之十三:关于“进程挂靠”.pdf 14.漫谈兼容内核之十四:Windows的跨进程操作.pdf 15.漫谈兼容内核之十五:Windows线程的等待和唤醒机制.pdf 16.漫谈兼容内核之十六:Windows的进程间通信.pdf 17.漫谈兼容内核之十七:再谈windows的进程创建.pdf 18.漫谈兼容内核之十八:Windows的LPC机制.pdf 19.漫谈兼容内核之十九:Windows线程间的强相互作用.pdf 20.漫谈兼容内核之二十:Windows线程的系统空间堆栈.pdf 21.漫谈兼容内核之二十一:Windows进程的用户空间.pdf 22.漫谈兼容内核之二十二:Windows线程的调度和运行.pdf 23.漫谈兼容内核之二十三:关于TLS.pdf 24.漫谈兼容内核之二十四:Windows的结构化异常处理(一).pdf 25.漫谈兼容内核之二十五:Windows的结构化异常处理(二).pdf 26.漫谈兼容内核之二十六:Windows的结构化异常处理(三).pd
APC注入实现代码
07-30
纯Ring0 + Ring3 交互
inject.rar
10-16
DLL注入有很多方法,远线程,钩子,输入法,劫持,APC等等。 现在的好多进程都有保护,特别是一些游戏有各种保护如TP TS HS NP CD GPK BE SG3等等保护,这样常规的注入方法就没效果了。 现在流行且稳定的注入方法一般都要用驱动来实现了,驱动注入APC,回调等都可以用驱动注入
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动级dll注入源码 在xp系统可以注入dll到保护的进程
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
2010考研管理类联考综合能力答案解析.pdf
最新发布
04-24
考研管理类联考综合能力答案解析,考研真题,考研历年真题,考研管理类联考历年真题,真题解析。
NumPy Matplotlib Matplotlib 是 Python 的绘图库 .zip
04-24
matplotlib绘图 通过 Matplotlib,开发者可以仅需要几行代码,便可以生成绘图、直方图、功率谱、条形图、错误图、散点图等。 Matplotlib基础知识 1.Matplotlib的基本图表包括的元素 x轴和y轴 水平和垂直的轴线 x轴和y轴刻度 刻度标示坐标轴的分隔,包括最小刻度和最大刻度 x轴和y轴刻度标签 表示特定坐标轴的值 绘图区域 实际绘图的区域 2.hold属性 hold属性默认为True,允许在一幅图绘制多个曲线;将hold属性修改为False,每一个plot都会覆盖前面的plot。 但是不推荐去动hold这个属性,这种做法(会有警告)。因此使用默认设置即可。 3.网格线 grid方法 使用grid方法为图添加网格线 设置grid参数(参数与plot函数相同) .lw代表linewidth,线的粗细 .alpha表示线的明暗程度 4.axis方法 如果axis方法没有任何参数,则返回当前坐标轴的上下限 5.xlim方法和ylim方法 除了plt.axis方法,还可以通过xlim,ylim方法设置坐标轴范围
1. Linux 内核进程和线程的区别是什么?
07-14
在Linux内核,进程和线程是两种不同的执行实体。 一个进程是一个独立的执行单位,它拥有自己的内存空间、文件描述符、进程标识符等。每个进程都有自己的地址空间和资源,通过进程间通信(IPC)机制可以实现进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值