APC(一)

最新推荐文章于 2024-05-19 17:35:33 发布
最新推荐文章于 2024-05-19 17:35:33 发布
阅读量2.7k 收藏
点赞数 2
分类专栏: # APC 文章标签: 安全 APC windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/121440415
版权

线程资源的利用

如果线程出现等待的情况,如Sleep,WaitForStingleObject的情况,为了防止等待,所以会插入APC(异步过程调用)到用户链表或者内核链表中,进行切换时会检测有无APC的存在,然后进行调用。

进程块对应的跟APC有关的结构

   +0x03a Alerted          : [2] UChar  //0对应内核 1对应三环
   +0x03c Alertable        : Pos 5, 1 Bit   //是否能唤醒
   +0x040 ApcState         : _KAPC_STATE  //KAPC_STATE 当前的上下文环境
   +0x0b8 ApcQueueable     : Pos 5, 1 Bit  //是否允许APC插入队列 1为允许插入
   +0x134 ApcStateIndex    : UChar  //保存的APC链表的索引号,根据索引号来切换APC链表
   +0x168 ApcStatePointer  : [2] Ptr32 _KAPC_STATE //备用的上下文环境
   +0x170 SavedApcState    : _KAPC_STATE

KAPC结构

kd> dt _KAPC
nt!_KAPC
   +0x000 Type             : UChar  //类型
   +0x001 SpareByte0       : UChar  //保留
   +0x002 Size             : UChar  //大小
   +0x003 SpareByte1       : UChar  //保留
   +0x004 SpareLong0       : Uint4B  //保留
   +0x008 Thread           : Ptr32 _KTHREAD  //属于哪个线程
   +0x00c ApcListEntry     : _LIST_ENTRY //-0xc得到头 
   +0x014 KernelRoutine    : Ptr32     void  //内核函数表 先执行
   +0x018 RundownRoutine   : Ptr32     void  //特殊函数表 比如挂起线程
   +0x01c NormalRoutine    : Ptr32     void  //正常函数表 如果为用户态,必须写,如果为内核态,可以不写
   +0x020 NormalContext    : Ptr32 Void  //参数
   +0x024 SystemArgument1  : Ptr32 Void  //参数
   +0x028 SystemArgument2  : Ptr32 Void  //参数
   +0x02c ApcStateIndex    : Char
   +0x02d ApcMode          : Char //用户APC节点还是内核APC节点
   +0x02e Inserted         : UChar //记录是否被插入过

APC的状态管理器

kd> dt _KAPC_STATE
nt!_KAPC_STATE  //状态,APC的管理器
   +0x000 ApcListHead      : [2] _LIST_ENTRY  // 指向KAPC中的+0x00c ApcListEntry
   +0x010 Process          : Ptr32 _KPROCESS  //进程
   +0x014 KernelApcInProgress : UChar  //内核APC是否正在执行
   +0x015 KernelApcPending : UChar  //内核APC是否能执行
   +0x016 UserApcPending   : UChar  //用户APC能否执行

插入APC的四种环境
无论挂不挂靠,都插入到原始环境
无论挂不挂靠,都插入到挂靠环境
在初始化APC函数中,看线程ApcStateIndex的值,如果为0,则插入原始环境,否则插入挂靠环境
初始化时函数不插入,调用APC函数时再插入

R3 插入APC

测试DLL 目的为弹出一个窗口

#include "pch.h"

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    {
        MessageBoxA(NULL,"WANGLIANG", NULL, NULL);
    }   
    break;    
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

测试程序

#include<Windows.h>
#include<stdio.h>

void main() {
	while (1) {
		printf("1\n");
		SleepEx(1000, TRUE);
	}
}

插入主程序

#include<Windows.h>
#include<stdio.h>


void main() {
	
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, 2524);//获取进程ID
	
	if (!hProcess) {
		printf("Process");
		return -1;
	}

	HANDLE hHandle = GetModuleHandleA("kernel32.dll");
	if (!hHandle) {
		printf("Handle");
		return -1;
	}

	PVOID func = (PVOID)GetProcAddress(hHandle, "LoadLibraryA");
	
	PUCHAR Memory = (PUCHAR)VirtualAllocEx(hProcess, NULL, 0X1000, MEM_COMMIT, PAGE_READWRITE);
	if (!Memory) {
		printf("WriteProcess");
		return -1;
	}

	char * bufPath = "C:\\Users\\wangliang\\Desktop\\DLL.dll";//测试用的DLL的路径
	SIZE_T proc = NULL;
	
	if (!WriteProcessMemory(hProcess, Memory, bufPath, strlen(bufPath) + 1, &proc)) {
		printf("WriteProcess");
		return -1;
	}

	HANDLE hThread = OpenThread(PROCESS_ALL_ACCESS, NULL, 3220);//APC是以线程为单位的 获取线程ID
	if (!hThread) {
		printf("Thread");
		return -1;
	}

	QueueUserAPC((PAPCFUNC)func,hThread, (ULONG_PTR)Memory);//调用APC插入


	system("pause");
}
0xwangliang
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
贴装APC技术简介
01-20
APC(Advanced Process Control)技术是一种先进组装工艺控制技术,其基本思路是把焊膏涂敷、元件贴装和回流焊接工艺作为一个整体来考虑,以达到组装效果。  元件贴装中对位基准的优化,是APC应用实例之一。如图所...
RedHat 8.2如何使用APC给节点加压?
Violet的博客
04-28 150
RedHat 8.2如何使用APC给节点加压? 在执行APC脚本之前不得不吐槽一下网络环境搭建的未解之谜:本人笔记本和APC能互相ping通,笔记本也能和控制端服务器A互相ping通,但APC和控制端服务器A无法ping通. 后来发现APC和控制端服务器B能互相ping通,就暂且使用控制端服务器B通过APC下发命令给被控制端服务器C跑AC. 但在控制端服务器B执行脚本后.#sh Ac.sh,会提示如下错误: ./Ac.sh: ./Acoff.exp: /usr/bin/expect: 解释器错误: 没有那
利用GBD数据库做未来疾病负担预测
热门推荐
NickyCat的博客
07-10 2万+
最近看到一篇文献,利用GBD数据库中的数据对疾病负担的发展趋势进行预测。觉得很有趣,就抽空用R语言复盘了一下里面关键的方法。 参考文献: Changing trends in the disease burden of esophageal cancer in China from 1990 to 2017 and its predicted level in 25 years DOI: 10.1002/cam4.3775 1. 相关R包的安装 主要用到的R包有3个,一个一个讲: 1.1 Nordpred
关于APC机制
sxr__nc的博客
03-12 1068
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《WindowsAPC机制》受益匪浅,总结一点自己关于APC的思路: 之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件
apc php扩展,php的apc扩展浅析(一)
weixin_29366307的博客
03-10 277
好不容易在php5.5的情况下生成了apc.so扩展文件,就迫不及待的想要测试下apc,有了apc.so文件之后,让php支持apc就轻而易举了,打开正在使用的配置文件php.ini,只需要添加extension=apc.so,重启web服务器(如果使用nginx,重启php-fpm)使之生效,然后使用phpinfo()查看,怎么样 ,是不是已经生效了呢。在正式的使用之前,我们需要在apc的源码文...
APC 简介
x
10-30 983
  默认情况下,创建线程时不会创建这个APC队列 调用了QueueUserAPC函数或其他可向APC队列添加函数之后,才会创建APC这个队列; 每个线程都有自己的APC队列 , 当线程处在alertable状态时才去执行这些APC函数. alertable :  当线程调用例如: WaitForSingleObjectEx , SleepEx 等带ex 的函数, 并把bAlterable参...
APC计算机编程,[原创]小Win,点一份APCApc机制详解)(一)
weixin_29184371的博客
07-27 684
翻开翻开小Win的菜单,APC赫然在目...做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝!吃了可以做很多事情...APC注入APC注入APC注入...细节来自于ReactOS源码分析。如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了来一份APCring3这么做的点APC的正确姿势是使用QueueUserApc,不走寻常路的也可以使用NtQueueApcThreadDWORDW...
PHP之APC缓存
架构精进之路
01-25 120
统缓存和用户数据缓存。 系统缓存 它是指APC把PHP文件源码的编译结果缓存起来,然后在每次调用时先对比时间标记。如果未过期,则使用缓存的中间代码运行。默认缓存3600s(一小时)。但是这样仍会浪费大量CPU时间。因此可以在php.ini中设置system缓存为永不过期(apc.ttl=0)。不过如果这样设置,改运php代码后需要重启WEB服务器。目前使用较多的是指此类缓存。 用户数据缓存 缓存由用户在编写PHP代码时用apc_store和apc_fetch函数操作读取、写入的。如果数据量不大的话,
apc php7,PHP之APC缓存详细介绍 apc模块安装
weixin_35696321的博客
03-09 336
1、APC缓存简介APC,全称是Alternative PHP Cache,官方翻译叫"可选PHP缓存".它为我们提供了缓存和优化PHP的中间代码的框架。 APC的缓存分两部分:系统缓存和用户数据缓存。系统缓存它是指APC把PHP文件源码的编译结果缓存起来,然后在每次调用时先对比时间标记。如果未过期,则使用缓存的中间代码运行。默认缓存3600s(一小时)。但是这样仍会浪费大量CPU时间。因此可以在...
插入用户APC
u012129783的博客
08-24 688
每个_Kthread都有一个成员Alerted,默认为0,表示是否可以被APC唤醒。所以下面这段程序,即使插入APC,但是t线程仍然不会执行。 让t线程执行APC函数的方法是使t线程变成可被唤醒状态,使用函数SleepEx(时间,是否可以唤醒线程),第二个参数为true,Alerted设置为1,即可被唤醒;在插入APC时,APC函数就会执行。 #include &quot;stdafx.h&quot; #inc...
APC注入测试源码C++
12-19
一个对APC注入进行学习测试的例子,可以在用户态下执行。但是对系统进程仍无法进行注入,不清楚是权限问题还是其他的问题。 工程在vs2012下编译测试成功。 共有三个工程 1、ApcInject 实现Apc注入功能 2、InjectTest...
Apc.rar_APC_windows APC
09-23
windows平台异步过程调用很好的一份说明使用文档。详细的介绍了APC的机制,有了解APC机制的可以参考
APC.rar_APC processing_callback
09-20
APC中文叫异步过程调用(APC)是NT异步处理体系结构中的一个基础部分。Alertable IO(告警IO)提供了更有效的异步通知形式,当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行,也就是一个APC的过程。线程...
深入解析php之apc
01-20
apc定义:apc是一个开放自由的php opcode缓存。它的目标是提供一个自由、开放和健全的框架,用于缓存和优化php中间代码。apc常用函数: 1.apc_clear_cache() 清楚apc缓存内容2.apc_define_constants(string key,...
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 454
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
软考高级架构师:软件系统安全相关概念完整性、不可否认性、可控性、机密性、安全审计
最新发布
明明如月的技术博客
05-19 187
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 465
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
全面解析防静电措施:保障工业安全,预防静电危害
YOUSUTO的博客
05-16 397
静电是一种常见的物理现象,由于电荷的不平衡而产生。在特定的环境中,静电可能会带来危害,如损坏电子设备、引起火灾等。因此,采取适当的防静电措施是非常重要的。总之,防静电需要采取综合的措施,从环境、设备、人员等多个方面入手,才能有效地减少静电的危害。
Windows APC原理
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值