APC(二)

最新推荐文章于 2024-01-04 11:13:31 发布
最新推荐文章于 2024-01-04 11:13:31 发布
阅读量405 收藏
点赞数 2
分类专栏: # APC 文章标签: windows APC 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/121540993
版权

分析KeInsertQueueApc

BOOLEAN KeInsertQueueApc (
    __inout PRKAPC Apc, //APC的结构
    __in_opt PVOID SystemArgument1,
    __in_opt PVOID SystemArgument2,//参数
    __in KPRIORITY Increment//优先级
    )

然后把ntkrnlpa.exe放进IDA里面进行反编译,然后再找到这个函数。

char __stdcall KeInsertQueueApc(int apc, int SystemArgument1, int SystemArgument2, int Increment)
{
  int v4; // edi
  volatile signed __int32 *v5; // ebx
  char bRet; // [esp+13h] [ebp-Dh]
  int spinCount; // [esp+14h] [ebp-Ch]
  unsigned __int8 NewIrql; // [esp+18h] [ebp-8h]
  _KPRCB *kpcr; // [esp+1Ch] [ebp-4h]

  v4 = *(_DWORD *)(apc + 8);
  spinCount = 0;
  NewIrql = KeRaiseIrqlToDpcLevel();//提高当前IQL等级为DPC_LEVEL
  kpcr = KeGetPcr()->Prcb;
  v5 = (volatile signed __int32 *)(v4 + 96);
  while ( _InterlockedExchange(v5, 1) )//加锁 确保中途的过程不会被打断
  {
    do
    {
      if ( ++spinCount & HvlLongSpinCountMask || !(HvlEnlightenments & 0x40) )//验证加的锁
        _mm_pause();
      else
        HvlNotifyLongSpinWait(spinCount);
    }
    while ( *v5 );
  }
  if ( *(_DWORD *)(v4 + 184) & 0x20 && *(_BYTE *)(apc + 46) != 1 )
  {
    *(_DWORD *)(apc + 36) = SystemArgument1;
    *(_BYTE *)(apc + 46) = 1;
    *(_DWORD *)(apc + 40) = SystemArgument2;
    KiInsertQueueApc((signed __int32)kpcr, apc, NewIrql);//这个函数才起到了插入APC的作用
    bRet = 1;
  }
  else
  {
    bRet = 0;
  }
  _InterlockedAnd(v5, 0);//解锁
  KiExitDispatcher((int)kpcr, 0, 1, Increment, NewIrql);
  return bRet;
}

然后跟进KiInsertQueueApc函数中,继续去查看

char __fastcall KiInsertQueueApc(signed __int32 KPCR, int KAPC, unsigned __int8 IRQL)
{
  int v3; // edi
  int v4; // esi
  int v5; // ecx
  char v6; // bl
  int *v7; // ecx
  int v8; // edx
  int *v9; // eax
  int v10; // ecx
  _DWORD *v11; // edx
  int *v12; // eax
  int v13; // ecx
  int *v14; // eax
  int v15; // edx
  int *v16; // ecx
  int v17; // eax
  int v18; // ecx
  volatile signed __int32 *v19; // ebx
  volatile signed __int32 *v20; // edi
  int v21; // ebx
  char v22; // al
  unsigned int v23; // eax
  int v24; // esi
  unsigned int v25; // ecx
  int v26; // eax
  _KPRCB *v27; // eax
  char v29; // [esp+Fh] [ebp-19h]
  char v30; // [esp+Fh] [ebp-19h]
  int v31; // [esp+10h] [ebp-18h]
  signed __int32 v32; // [esp+14h] [ebp-14h]
  int v33; // [esp+18h] [ebp-10h]
  __int16 v34; // [esp+1Ch] [ebp-Ch]
  __int16 v35; // [esp+1Eh] [ebp-Ah]
  int v36; // [esp+24h] [ebp-4h]

  v3 = KAPC;
  v4 = *(_DWORD *)(KAPC + 8);                   // 获取线程
  v32 = KPCR;
  if ( *(_BYTE *)(KAPC + 0x2C) == 3 )           // 0x2c KAPC.ApcStateIndex 判断APC的索引
    *(_BYTE *)(KAPC + 0x2C) = *(_BYTE *)(v4 + 0x134);// 0x134 Kthread.ApcStateIndex 如果为3则选择当前的索引
  v5 = *(_DWORD *)(v4 + 4 * *(char *)(KAPC + 0x2C) + 0x168);// 获取0x168 Kthread.ApcStatePointer
  v6 = *(_BYTE *)(KAPC + 0x2D);                 // 0x2D KAPC.ApcMode 获取是内核还是用户
  if ( *(_DWORD *)(KAPC + 0x1C) )               // 0x1c KAPC.NormalRoutine 判断有无正常函数表
  {
    v29 = 1;
    if ( v6 && *(void (__stdcall **)(int, int, int, int, int))(KAPC + 0x14) == PsExitSpecialApc )// 0x14 KAPC.KernelRoutine 判断是否是退出线程的APC
    {
      *(_BYTE *)(v4 + 0x56) = 1;
      v7 = (int *)(v5 + 8 * v6);                // _KAPC_STATE
      v8 = *v7;
      v9 = (int *)(v3 + 0xC);
      *v9 = *v7;
      v9[1] = (int)v7;
      *(_DWORD *)(v8 + 4) = v3 + 0xC;           // 插入到头节点
      *v7 = v3 + 0xC;
    }
    else
    {
      v10 = v5 + 8 * v6;
      v11 = *(_DWORD **)(v10 + 4);
      v12 = (int *)(v3 + 12);
      *v12 = v10;
      v12[1] = (int)v11;
      *v11 = v3 + 12;
      *(_DWORD *)(v10 + 4) = v3 + 12;           // 如果不是就插入到尾节点
    }
  }
  else
  {
    v13 = v5 + 8 * v6;                          // 指向下一个节点
    v14 = *(int **)(v13 + 4);
    v29 = 0;
    while ( v14 != (int *)v13 && v14[4] )
      v14 = (int *)v14[1];
    v15 = *v14;                                 // KAPC.NormalRoutine
    v16 = (int *)(v3 + 12);
    *v16 = *v14;
    v16[1] = (int)v14;
    *(_DWORD *)(v15 + 4) = v3 + 12;
    *v14 = v3 + 12;
  }
  v17 = *(unsigned __int8 *)(v4 + 0x134);       // 0x134 Kthread.ApcStateIndex
  v18 = *(char *)(v3 + 0x2C);                   // 0x2c KAPC.ApcStateIndex 判断APC的索引
  if ( v18 == v17 )                             // 判断是否是一个 如果不一样直接跳走
  {
    LOBYTE(v17) = v32;
    if ( v4 == *(_DWORD *)(v32 + 4) )
    {
      if ( !v6 && (!*(_DWORD *)(v4 + 0x84) || !v29 && !*(_WORD *)(v4 + 0x86)) )// +0x084 KernelApcDisable +0x086 SpecialApcDisable 判断是否是特殊
                                                // 
      {
        *(_BYTE *)(v4 + 0x55) = 1;
        if ( IRQL < 1u )                        // 中断 检测APC是否需要执行
        {
          *(_DWORD *)(v4 + 60) |= 0x100u;       // 0x60 Kthread.ApcQueueLock
          return v17;
        }
LABEL_55:
        LOBYTE(v18) = 1;
        LOBYTE(v17) = HalRequestSoftwareInterrupt(v18);// 中断 然后执行APC
        return v17;
      }
    }
    else if ( v6 )                              // 如果是用户APC
    {
      LOBYTE(v17) = *(_BYTE *)(v4 + 0x68);      // Kthread.State
      if ( (_BYTE)v17 == 5 )                    // 一般直接返回
      {
        v30 = 0;
        v20 = (volatile signed __int32 *)(v4 + 52);
        v21 = 0;
        while ( _InterlockedExchange(v20, 1) )
        {
          do
          {
            if ( ++v21 & HvlLongSpinCountMask || !(HvlEnlightenments & 0x40) )
              _mm_pause();
            else
              HvlNotifyLongSpinWait(v21);
          }
          while ( *v20 );
        }
        if ( *(_BYTE *)(v4 + 104) == 5
          && *(_BYTE *)(v4 + 107) == 1
          && (*(_BYTE *)(v4 + 60) & 0x20 || *(_BYTE *)(v4 + 86)) )
        {
          v22 = KiSignalThread(v32, 192);
          *(_BYTE *)(v4 + 56) |= 0x20u;
          v30 = v22;
        }
        LOBYTE(v17) = 0;
        _InterlockedAnd(v20, 0);
        if ( v30 )
          *(_BYTE *)(v4 + 86) = 1;
      }                                         // 到这
    }
    else
    {
      *(_BYTE *)(v4 + 0x55) = 1;
      _InterlockedExchange(&v33, v32);          // 初始化
      v17 = *(unsigned __int8 *)(v4 + 0x68);    // Kthread.State
      if ( v17 == 2 )
      {
        v23 = KeGetCurrentProcessorNumberEx(0); // 获取处理器编号
        v18 = *(_DWORD *)(v4 + 0x58);
        if ( v23 == v18 )
          goto LABEL_55;
        v24 = *(_DWORD *)(v4 + 0x58);
        v34 = 1;
        v35 = 1;
        v36 = 0;
        v25 = (unsigned int)KiProcessorIndexToNumberMappingTable[v24] >> 6;
        v26 = KiProcessorIndexToNumberMappingTable[v24] & 0x3F;
        if ( v25 >= 1 )
          v34 = v25 + 1;
        *(&v36 + v25) |= KiMask32Array[v26];    // 获取位图
        v27 = KeGetPcr()->Prcb;
        ++v27->IpiSendSoftwareInterruptCount;
        LOBYTE(v17) = KiIpiSend(&v34);
      }
      else if ( v17 == 5 )
      {
        v31 = 0;
        v19 = (volatile signed __int32 *)(v4 + 52);
        while ( _InterlockedExchange(v19, 1) )
        {
          do
          {
            if ( ++v31 & HvlLongSpinCountMask || !(HvlEnlightenments & 0x40) )
              _mm_pause();
            else
              HvlNotifyLongSpinWait(v31);
          }
          while ( *v19 );
        }
        if ( *(_BYTE *)(v4 + 0x68) == 5
          && !*(_BYTE *)(v4 + 0x6A)
          && !*(_WORD *)(v4 + 0x86)
          && (!*(_DWORD *)(v3 + 0x1C) || !*(_WORD *)(v4 + 0x84) && !*(_BYTE *)(v4 + 0x54)) )
        {
          KiSignalThread(v32, 256);
          *(_BYTE *)(v4 + 56) |= 0x10u;
        }
        LOBYTE(v17) = 0;
        _InterlockedAnd(v19, 0);
      }
    }
  }
  return v17;
}
0xwangliang
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APC-DEVMEDIA
03-09
3. **dart:typed_data**:这个库提供了`Uint8List`等数据结构,用于高效地处理二进制数据,对于媒体文件的内存操作非常有用。 4. **强大的包管理器**:Dart的pub包管理器允许开发者轻松地导入和使用社区开发的各种...
php上传进度条APC
11-01
第二步,把dll文件放到扩展库目录下。 第三步,restart WEB Server 就ok了。 怎么使用呢?道理很简单。对上传的文件添加一个标记,就可以在其它的php程序中用这个标记访问它。这个标记通常叫做挂钩(Hook)。...
内核函数KiInsertQueueApc说明
qq_45806710的博客
02-08 1410
根据KAPC结构中的PpcStateIndex找到对应的A队列3在根据KAPC结构中的ApoMode确定是用户队列函数内核队列 将KAPC挂到对应的队列中(挂 到KAPCApcKistEntry处) 7在根据KAPC结构中的Inserted置1,标识当前的APC为已插入状态 9修改KAPC_ STATE结构中的Kerne lApcPending/UserApcPending ...
APC学习记录
qq_45844442的博客
10-28 675
插入过程主要是根据参数决定APC插入链表的位置执行过程主要是先执行参数的KernelRoutine的代码,如果有NormalRoutine则跳到三环去遍历执行再回到内核,以此往复将链表中的所有APC执行完毕。
Windows11_22H2下的APC机制分析
最新发布
lkylky123789的博客
01-04 1046
APC机制分析
APC Injection of Windows 7 x86 in R0
weixin_30814319的博客
09-05 229
APC Injection of Windows 7 x86 in R0 Introduction When running in kernel mode, it may be necessary to inject code into a User-land process. We can use the Asynchronous Procedure Calls(APCs) to ac...
投递APC失败,是什么原因?
陈刚编程心得与知识集
01-13 773
我见网上都是用内存映射的方法!而我为了图方便就用的RtlMoveMemory 但是调试发现KeInsertQueueApc函数成功,但是Thread+0x40,也就是ApcState->ApcListHead没有我的ListEntry,头和尾是一样的!不解,难道非要用内存映射的方法? 还是KeInitializeApc的什么出错了? kd> dt _KAPC 8728a230 ntdll!
php5.3.3_APC扩展模块
08-02
### 二、APC在WAMP环境中的安装与配置 1. **安装**:在WAMP环境下,可以通过PECL安装APC扩展。首先确保已经开启PHP的`extension_dir`,然后下载对应的APC版本并解压,将`php_apc.dll`放到`ext`目录下,修改`...
APC-3.1.9下载
08-08
而`APC-3.1.9`文件则很可能是APC扩展的源代码或者编译后的二进制文件,用于在服务器上安装和启用APC功能。 安装APC扩展通常需要以下步骤: 1. 解压下载的压缩包。 2. 配置APC。如果你是使用源码安装,需要使用`...
APC插座改造电路图
07-29
"T2"可能表示第二代设计或者特定的转换功能。P8T3同理,可能是8个插孔与第三种转换模式。在P8T3.jpg电路图中,我们可以分析其改进之处,比如增强的浪涌保护、提高的额定电流,或者是增加了智能化管理接口,如RS-232...
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5509
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1131
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline的
Windows下基础免杀技术
MachineGunJoe666
09-04 1658
例如,CS可以直接生成各种格式的shellcode。
谈谈对APC的一点理解
乐朝夕与之共
07-10 2734
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
APC初始化 —— 逆向分析 KeInitializeApc
walker的博客
03-19 775
简介 操作系统想要实现对正在执行的线程的管理,就要通过 APC 机制实现,即向目标线程的 APC 队列中插入 _KAPC ,以实现对该线程的管理(如挂起、终止)。 而向线程插入 APC 就需要先初始化 APC ,在 Windows中使用 KeInitializeApc 函数实现对APC 的初始化。 以 PspTerminateThreadByPointer 函数为例,部分重要汇编指令如下: 逆向分析KeInitializeApc ...
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1715
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
漫谈兼容内核之十二:Windows的APC机制
周寅的专栏
03-13 3067
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机
内核中通过给线程插apc注入dll
sgzwiz的专栏
03-03 7850
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
sas实现apc年龄时期队列
07-24
### 回答1: SAS(统计分析系统)是一种广泛应用于数据分析和统计建模的软件工具。实现APC(age-period-cohort)年龄时期队列涉及对数据的整理、分析和建模。 APC年龄时期队列分析是一种研究人口或事件在不同年龄、不同时期和不同历史时期的影响的方法。在SAS中,可以使用多种函数和过程来实现这一方法。 首先,需要对所需的数据进行整理和准备。将数据按年龄、时期和队列进行分类,并保证每个分类中的数据是完整和准确的。这可以通过SAS的数据整理和处理函数来实现,例如DATA步骤和SQL查询。 接下来,使用SAS中的统计分析过程来计算和分析APC年龄时期队列。可以使用PROC REG和PROC GLM来进行回归分析,查看年龄、时期和队列对所研究事件的影响。也可以使用PROC GENMOD来进行广义线性模型分析,例如对二项式数据的分析。 在分析过程中,还可以使用SAS的可视化工具来展示结果和趋势。例如,可以使用PROC SGPLOT生成图表和图形,清晰地展示年龄、时期和队列的关系和变化趋势。 最后,根据对APC年龄时期队列的分析结果,可以对特定问题或现象作出解释和预测。这将有助于了解人口或事件在不同年龄、时期和队列中的变化和发展规律,从而提供决策和干预的依据。 总而言之,通过SAS软件工具的数据整理、分析和建模功能,可以实现对APC年龄时期队列的研究和分析。这将有助于深入了解和解释人口或事件在不同年龄、时期和队列中的变化和影响。 ### 回答2: SAS(统计分析系统)是一种功能强大的统计分析软件,可以用于实现多种统计分析方法和模型。要实现APC(年龄、时期、队列)模型,首先需要了解APC模型的基本概念和原理。 在APC模型中,年龄、时期和队列是指个体或群体的三个重要维度。年龄表示个体或群体的年龄水平,时期表示观察或研究的时间点或时间期间,队列则表示在特定时期出生的个体或群体。这三个维度综合起来,可以帮助我们分析和预测某种现象或变量在不同年龄、不同时期和不同队列中的变化。 为了使用SAS实现APC模型,可以遵循以下步骤: 1. 数据准备:将需要分析的数据导入SAS软件中,并确保数据格式正确,包括年龄、时期和队列等相关变量。 2. 数据探索和描述性分析:使用SAS的统计分析功能,对数据进行探索性分析,如描述统计、频率分析、数据可视化等,以了解数据的分布和特征。 3. APC模型建立:在SAS中,可以使用各种统计模型来建立APC模型,如线性回归模型、广义线性模型、混合效应模型等。根据具体研究目的和数据特点,选择适合的模型进行建模。 4. 模型拟合和评估:使用SAS的模型拟合功能,对建立的APC模型进行拟合,并评估模型的拟合效果和预测能力,如残差分析、拟合优度检验等。 5. 结果解释和报告:根据模型结果,解释模型中各个变量的影响,如年龄效应、时期效应、队列效应等,并根据需要生成相应的报告或图表。 总之,通过使用SAS统计分析软件,可以比较方便地实现APC年龄时期队列模型,从而深入分析和预测不同维度对某种现象的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值