APC(三)

最新推荐文章于 2024-01-04 11:13:31 发布
最新推荐文章于 2024-01-04 11:13:31 发布
阅读量258 收藏
点赞数 2
分类专栏: # APC 文章标签: 安全 驱动 Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/121643352
版权

内核APC插入

VOID KeInitializeApc (
    __out PRKAPC Apc,   //输出APC
    __in PRKTHREAD Thread,  //要插入的线程
    __in KAPC_ENVIRONMENT Environment,   //APC的线程环境
    __in PKKERNEL_ROUTINE KernelRoutine,   //内核函数
    __in_opt PKRUNDOWN_ROUTINE RundownRoutine,  //特殊函数
    __in_opt PKNORMAL_ROUTINE NormalRoutine,  //一般函数
    __in_opt KPROCESSOR_MODE ApcMode,  //用户APC还是内核APC
    __in_opt PVOID NormalContext  //传的参数
    )  //初始化APC

typedef enum _KAPC_ENVIRONMENT {
    OriginalApcEnvironment, //原始进程环境
    AttachedApcEnvironment,  //插入后的进程环境
    CurrentApcEnvironment,
    InsertApcEnvironment
} KAPC_ENVIRONMENT;

#include<ntifs.h>

typedef enum _KAPC_ENVIRONMENT {
	OriginalApcEnvironment,
	AttachedApcEnvironment,
	CurrentApcEnvironment,
	InsertApcEnvironment
} KAPC_ENVIRONMENT;

typedef VOID(*PKNORMAL_ROUTINE) (
	IN PVOID NormalContext,
	IN PVOID SystemArgument1,
	IN PVOID SystemArgument2
	);

typedef VOID(*PKKERNEL_ROUTINE) (
	IN struct _KAPC* Apc,
	IN OUT PKNORMAL_ROUTINE* NormalRoutine,
	IN OUT PVOID* NormalContext,
	IN OUT PVOID* SystemArgument1,
	IN OUT PVOID* SystemArgument2
	);

typedef VOID(*PKRUNDOWN_ROUTINE) (
	IN struct _KAPC* Apc
	);

VOID KeInitializeApc(
	__out PRKAPC Apc,
	__in PRKTHREAD Thread,
	__in KAPC_ENVIRONMENT Environment,
	__in PKKERNEL_ROUTINE KernelRoutine,
	__in_opt PKRUNDOWN_ROUTINE RundownRoutine,
	__in_opt PKNORMAL_ROUTINE NormalRoutine,
	__in_opt KPROCESSOR_MODE ApcMode,
	__in_opt PVOID NormalContext
);

BOOLEAN KeInsertQueueApc(
	__inout PRKAPC Apc,
	__in_opt PVOID SystemArgument1,
	__in_opt PVOID SystemArgument2,
	__in KPRIORITY Increment
);   //未文档化手动导入

VOID kernelRoutineFunc(
	IN struct _KAPC* Apc,
	IN OUT PKNORMAL_ROUTINE* NormalRoutine,
	IN OUT PVOID* NormalContext,
	IN OUT PVOID* SystemArgument1,
	IN OUT PVOID* SystemArgument2
)
{
	DbgPrintEx(77, 0, "kernelRoutineFunc\r\n");
	ExFreePool(Apc);//释放APC
}

VOID DriverUnload(PDRIVER_OBJECT pDriver) {
	DbgPrintEx(77, 0, "Exit");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg) {
	PKAPC pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
	memset(pApc, 0, sizeof(KAPC));

	KeInitializeApc(pApc, //APC的值
					KeGetCurrentThread(), //当前线程
					OriginalApcEnvironment,//环境
					kernelRoutineFunc, //kernel函数  插入就立即调用
					NULL, 
					NULL, //特殊函数和一般函数都不是必须的
					KernelMode, //内核APC
					NULL);
					//初始化APC

	KeInsertQueueApc(pApc, NULL, NULL, 0);//当前线程插入APC
	DbgPrintEx(77, 0, "-----------------------\r\n");
	pDriver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

在这里插入图片描述

插入其他线程

#include<ntifs.h>

typedef enum _KAPC_ENVIRONMENT {
	OriginalApcEnvironment,
	AttachedApcEnvironment,
	CurrentApcEnvironment,
	InsertApcEnvironment
} KAPC_ENVIRONMENT;

typedef VOID(*PKNORMAL_ROUTINE) (
	IN PVOID NormalContext,
	IN PVOID SystemArgument1,
	IN PVOID SystemArgument2
	);

typedef VOID(*PKKERNEL_ROUTINE) (
	IN struct _KAPC* Apc,
	IN OUT PKNORMAL_ROUTINE* NormalRoutine,
	IN OUT PVOID* NormalContext,
	IN OUT PVOID* SystemArgument1,
	IN OUT PVOID* SystemArgument2
	);

typedef VOID(*PKRUNDOWN_ROUTINE) (
	IN struct _KAPC* Apc
	);

VOID KeInitializeApc(
	__out PRKAPC Apc,
	__in PRKTHREAD Thread,
	__in KAPC_ENVIRONMENT Environment,
	__in PKKERNEL_ROUTINE KernelRoutine,
	__in_opt PKRUNDOWN_ROUTINE RundownRoutine,
	__in_opt PKNORMAL_ROUTINE NormalRoutine,
	__in_opt KPROCESSOR_MODE ApcMode,
	__in_opt PVOID NormalContext
);

BOOLEAN KeInsertQueueApc(
	__inout PRKAPC Apc,
	__in_opt PVOID SystemArgument1,
	__in_opt PVOID SystemArgument2,
	__in KPRIORITY Increment
);

VOID kernelRoutineFunc(
	IN struct _KAPC* Apc,
	IN OUT PKNORMAL_ROUTINE* NormalRoutine,
	IN OUT PVOID* NormalContext,
	IN OUT PVOID* SystemArgument1,
	IN OUT PVOID* SystemArgument2
)
{
	DbgPrintEx(77, 0, "kernelRoutineFunc\r\n");
	ExFreePool(Apc);
}

VOID NormalRoutineFunc(
	IN PVOID NormalContext,
	IN PVOID SystemArgument1,
	IN PVOID SystemArgument2
)
{
	DbgPrintEx(77, 0, "NormalRoutineFunc\r\n");
}


VOID DriverUnload(PDRIVER_OBJECT pDriver) {

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg) {
	PKAPC pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
	memset(pApc, 0, sizeof(KAPC));

	PETHREAD eThread = NULL;
	PsLookupThreadByThreadId(852, &eThread);//传入线程ID获取其结构体指针

	DbgPrintEx(77, 0, "---------main pid = %d--------------\r\n", PsGetCurrentProcessId());//当前线程的进程ID

	KeInitializeApc(pApc, eThread, OriginalApcEnvironment,/*最后还是要返回当前线程所以还是这个值*/
		kernelRoutineFunc, NULL, NormalRoutineFunc/*一般函数表*/, KernelMode, NULL);
	KeInsertQueueApc(pApc, NULL, NULL, 0);

	DbgPrintEx(77, 0, "-----------------------\r\n");
	pDriver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

在这里插入图片描述

0xwangliang
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APC注入测试源码C++
12-19
共有个工程 1、ApcInject 实现Apc注入功能 2、InjectTest 被注入的程序,点击确定->start后,进入sleep,线程进入Alertable状态。此时可以对线程的APC队列进行插入。 3、testdll 注入到InjectTest.exe中的dll,...
windows内核情景分析 --APC
maomao171314的专栏
04-04 2057
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
3.APC的挂入过程
My classmates
10-23 631
无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。 每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。 kd&amp;amp;amp;gt; dt _kapc nt!_KAPC +0x000 Type //类型APC类型为0x12 +0x002 Size //本结构体的大小0x30...
Windows11_22H2下的APC机制分析
最新发布
lkylky123789的博客
01-04 907
APC机制分析
APC初始化 —— 逆向分析 KeInitializeApc
walker的博客
03-19 737
简介 操作系统想要实现对正在执行的线程的管理,就要通过 APC 机制实现,即向目标线程的 APC 队列中插入 _KAPC ,以实现对该线程的管理(如挂起、终止)。 而向线程插入 APC 就需要先初始化 APC ,在 Windows中使用 KeInitializeApc 函数实现对APC 的初始化。 以 PspTerminateThreadByPointer 函数为例,部分重要汇编指令如下: 逆向分析KeInitializeApc ...
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1121
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
php上传进度条APC
11-01
步,restart WEB Server 就ok了。 怎么使用呢?道理很简单。对上传的文件添加一个标记,就可以在其它的php程序中用这个标记访问它。这个标记通常叫做挂钩(Hook)。在上传文件的那个表单里面添加一个名字为...
aPC Matlab 工具箱.zip
08-21
生产调度、经济调度、装配线调度、充电优化、车间调度、发车优化、水库调度、维装箱、物流选址、货位优化、公交排班优化、充电桩布局优化、车间布局优化、集装箱船配载优化、水泵组合优化、解医疗资源分配优化、...
apc-process-improvement:使用高级过程控制评估过程改进
04-17
个关键问题: 该工厂是否采用了APC? 关于稳定性和生产量的过程改进有哪些? APC是否会提高能源性能? 档案说明 流程分析笔记本:使用一分钟的流程数据来确定APC利用率和流程改进。 能源分析笔记本:使用每日...
谈谈对APC的一点理解
乐朝夕与之共
07-10 2715
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
逆向工程之内核下创建用户进程
03-24 780
//By:Eros412#include #include PKAPC_STATE  ApcState;ULONG peprocess;ULONG explorer;PMDL mdl;typedef enum _KAPC_ENVIRONMENT {  OriginalApcEnvironment,  AttachedApcEnvironment,  CurrentApcEnvironment,  
浅谈 Signal 与 APC 实现
FadeTrack
07-11 1441
引言之前在学习 linux signal 机制实现的时候,发现和 windowsAPC机制有些不谋而合的味道,遂贴出了二者在使用上相同的片段。今天专程花时间对APC的实现进行了分析,好好扒一扒二者在实现上异同之处。 本文的错误或不足之处望大家指正。本文环境抛开环境对比分析实现是不可能,要限定一个范围。 本文的 signal 机制参考为 linux 1.0.9 本文的 APC 机制参考为 WR
驱动DLL注入,APC注入,驱动回调注入等实现详细流程及代码!
QQ1289671197的博客
10-16 5249
DLL注入有很多方法,远线程,钩子,输入法,劫持,APC等等。 现在的好多进程都有保护,特别是一些游戏有各种保护如TP TS HS NP CD GPK BE SG3等等保护,这样常规的注入方法就没效果了。 现在流行且稳定的注入方法一般都要用驱动来实现了,驱动注入,APC,回调等都可以用驱动注入。 驱动部分代码: #include "apc_inject_test.h" #include "asm_...
APC机制详解
鬼手的博客
02-15 6181
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1690
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
深入学习APC
求索
05-12 2378
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
APC注入DLL(win7下有问题)
weixin_33725272的博客
03-18 175
voidAPCKernelRoutine(PKAPCpKAPC, PKNORMAL_ROUTINEpUserAPC, PVOIDpContext, PVOIDpSysArg1, PVOIDpSysArg2) ...
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5479
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
【转】逆向工程之内核下创建用户进程(插APC
okmnji79513的专栏
08-27 970
https://forum.eviloctal.com/thread-32192-1-1.html  //By:Eros412#include #include PKAPC_STATE ApcState;ULONG peprocess;ULONG explorer;PMDL mdl;typedef enum _KAPC_ENVIRONMENT { O
Windows APC原理
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值