APC(二)

最新推荐文章于 2024-05-16 19:33:51 发布
最新推荐文章于 2024-05-16 19:33:51 发布
阅读量383 收藏
点赞数 2
分类专栏: # APC 文章标签: windows APC 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/121540993
版权

分析KeInsertQueueApc

BOOLEAN KeInsertQueueApc (
    __inout PRKAPC Apc, //APC的结构
    __in_opt PVOID SystemArgument1,
    __in_opt PVOID SystemArgument2,//参数
    __in KPRIORITY Increment//优先级
    )

然后把ntkrnlpa.exe放进IDA里面进行反编译,然后再找到这个函数。

char __stdcall KeInsertQueueApc(int apc, int SystemArgument1, int SystemArgument2, int Increment)
{
  int v4; // edi
  volatile signed __int32 *v5; // ebx
  char bRet; // [esp+13h] [ebp-Dh]
  int spinCount; // [esp+14h] [ebp-Ch]
  unsigned __int8 NewIrql; // [esp+18h] [ebp-8h]
  _KPRCB *kpcr; // [esp+1Ch] [ebp-4h]

  v4 = *(_DWORD *)(apc + 8);
  spinCount = 0;
  NewIrql = KeRaiseIrqlToDpcLevel();//提高当前IQL等级为DPC_LEVEL
  kpcr = KeGetPcr()->Prcb;
  v5 = (volatile signed __int32 *)(v4 + 96);
  while ( _InterlockedExchange(v5, 1) )//加锁 确保中途的过程不会被打断
  {
    do
    {
      if ( ++spinCount & HvlLongSpinCountMask || !(HvlEnlightenments & 0x40) )//验证加的锁
        _mm_pause();
      else
        HvlNotifyLongSpinWait(spinCount);
    }
    while ( *v5 );
  }
  if ( *(_DWORD *)(v4 + 184) & 0x20 && *(_BYTE *)(apc + 46) != 1 )
  {
    *(_DWORD *)(apc + 36) = SystemArgument1;
    *(_BYTE *)(apc + 46) = 1;
    *(_DWORD *)(apc + 40) = SystemArgument2;
    KiInsertQueueApc((signed __int32)kpcr, apc, NewIrql);//这个函数才起到了插入APC的作用
    bRet = 1;
  }
  else
  {
    bRet = 0;
  }
  _InterlockedAnd(v5, 0);//解锁
  KiExitDispatcher((int)kpcr, 0, 1, Increment, NewIrql);
  return bRet;
}

然后跟进KiInsertQueueApc函数中,继续去查看

char __fastcall KiInsertQueueApc(signed __int32 KPCR, int KAPC, unsigned __int8 IRQL)
{
  int v3; // edi
  int v4; // esi
  int v5; // ecx
  char v6; // bl
  int *v7; // ecx
  int v8; // edx
  int *v9; // eax
  int v10; // ecx
  _DWORD *v11; // edx
  int *v12; // eax
  int v13; // ecx
  int *v14; // eax
  int v15; // edx
  int *v16; // ecx
  int v17; // eax
  int v18; // ecx
  volatile signed __int32 *v19; // ebx
  volatile signed __int32 *v20; // edi
  int v21; // ebx
  char v22; // al
  unsigned int v23; // eax
  int v24; // esi
  unsigned int v25; // ecx
  int v26; // eax
  _KPRCB *v27; // eax
  char v29; // [esp+Fh] [ebp-19h]
  char v30; // [esp+Fh] [ebp-19h]
  int v31; // [esp+10h] [ebp-18h]
  signed __int32 v32; // [esp+14h] [ebp-14h]
  int v33; // [esp+18h] [ebp-10h]
  __int16 v34; // [esp+1Ch] [ebp-Ch]
  __int16 v35; // [esp+1Eh] [ebp-Ah]
  int v36; // [esp+24h] [ebp-4h]

  v3 = KAPC;
  v4 = *(_DWORD *)(KAPC + 8);                   // 获取线程
  v32 = KPCR;
  if ( *(_BYTE *)(KAPC + 0x2C) == 3 )           // 0x2c KAPC.ApcStateIndex 判断APC的索引
    *(_BYTE *)(KAPC + 0x2C) = *(_BYTE *)(v4 + 0x134);// 0x134 Kthread.ApcStateIndex 如果为3则选择当前的索引
  v5 = *(_DWORD *)(v4 + 4 * *(char *)(KAPC + 0x2C) + 0x168);// 获取0x168 Kthread.ApcStatePointer
  v6 = *(_BYTE *)(KAPC + 0x2D);                 // 0x2D KAPC.ApcMode 获取是内核还是用户
  if ( *(_DWORD *)(KAPC + 0x1C) )               // 0x1c KAPC.NormalRoutine 判断有无正常函数表
  {
    v29 = 1;
    if ( v6 && *(void (__stdcall **)(int, int, int, int, int))(KAPC + 0x14) == PsExitSpecialApc )// 0x14 KAPC.KernelRoutine 判断是否是退出线程的APC
    {
      *(_BYTE *)(v4 + 0x56) = 1;
      v7 = (int *)(v5 + 8 * v6);                // _KAPC_STATE
      v8 = *v7;
      v9 = (int *)(v3 + 0xC);
      *v9 = *v7;
      v9[1] = (int)v7;
      *(_DWORD *)(v8 + 4) = v3 + 0xC;           // 插入到头节点
      *v7 = v3 + 0xC;
    }
    else
    {
      v10 = v5 + 8 * v6;
      v11 = *(_DWORD **)(v10 + 4);
      v12 = (int *)(v3 + 12);
      *v12 = v10;
      v12[1] = (int)v11;
      *v11 = v3 + 12;
      *(_DWORD *)(v10 + 4) = v3 + 12;           // 如果不是就插入到尾节点
    }
  }
  else
  {
    v13 = v5 + 8 * v6;                          // 指向下一个节点
    v14 = *(int **)(v13 + 4);
    v29 = 0;
    while ( v14 != (int *)v13 && v14[4] )
      v14 = (int *)v14[1];
    v15 = *v14;                                 // KAPC.NormalRoutine
    v16 = (int *)(v3 + 12);
    *v16 = *v14;
    v16[1] = (int)v14;
    *(_DWORD *)(v15 + 4) = v3 + 12;
    *v14 = v3 + 12;
  }
  v17 = *(unsigned __int8 *)(v4 + 0x134);       // 0x134 Kthread.ApcStateIndex
  v18 = *(char *)(v3 + 0x2C);                   // 0x2c KAPC.ApcStateIndex 判断APC的索引
  if ( v18 == v17 )                             // 判断是否是一个 如果不一样直接跳走
  {
    LOBYTE(v17) = v32;
    if ( v4 == *(_DWORD *)(v32 + 4) )
    {
      if ( !v6 && (!*(_DWORD *)(v4 + 0x84) || !v29 && !*(_WORD *)(v4 + 0x86)) )// +0x084 KernelApcDisable +0x086 SpecialApcDisable 判断是否是特殊
                                                // 
      {
        *(_BYTE *)(v4 + 0x55) = 1;
        if ( IRQL < 1u )                        // 中断 检测APC是否需要执行
        {
          *(_DWORD *)(v4 + 60) |= 0x100u;       // 0x60 Kthread.ApcQueueLock
          return v17;
        }
LABEL_55:
        LOBYTE(v18) = 1;
        LOBYTE(v17) = HalRequestSoftwareInterrupt(v18);// 中断 然后执行APC
        return v17;
      }
    }
    else if ( v6 )                              // 如果是用户APC
    {
      LOBYTE(v17) = *(_BYTE *)(v4 + 0x68);      // Kthread.State
      if ( (_BYTE)v17 == 5 )                    // 一般直接返回
      {
        v30 = 0;
        v20 = (volatile signed __int32 *)(v4 + 52);
        v21 = 0;
        while ( _InterlockedExchange(v20, 1) )
        {
          do
          {
            if ( ++v21 & HvlLongSpinCountMask || !(HvlEnlightenments & 0x40) )
              _mm_pause();
            else
              HvlNotifyLongSpinWait(v21);
          }
          while ( *v20 );
        }
        if ( *(_BYTE *)(v4 + 104) == 5
          && *(_BYTE *)(v4 + 107) == 1
          && (*(_BYTE *)(v4 + 60) & 0x20 || *(_BYTE *)(v4 + 86)) )
        {
          v22 = KiSignalThread(v32, 192);
          *(_BYTE *)(v4 + 56) |= 0x20u;
          v30 = v22;
        }
        LOBYTE(v17) = 0;
        _InterlockedAnd(v20, 0);
        if ( v30 )
          *(_BYTE *)(v4 + 86) = 1;
      }                                         // 到这
    }
    else
    {
      *(_BYTE *)(v4 + 0x55) = 1;
      _InterlockedExchange(&v33, v32);          // 初始化
      v17 = *(unsigned __int8 *)(v4 + 0x68);    // Kthread.State
      if ( v17 == 2 )
      {
        v23 = KeGetCurrentProcessorNumberEx(0); // 获取处理器编号
        v18 = *(_DWORD *)(v4 + 0x58);
        if ( v23 == v18 )
          goto LABEL_55;
        v24 = *(_DWORD *)(v4 + 0x58);
        v34 = 1;
        v35 = 1;
        v36 = 0;
        v25 = (unsigned int)KiProcessorIndexToNumberMappingTable[v24] >> 6;
        v26 = KiProcessorIndexToNumberMappingTable[v24] & 0x3F;
        if ( v25 >= 1 )
          v34 = v25 + 1;
        *(&v36 + v25) |= KiMask32Array[v26];    // 获取位图
        v27 = KeGetPcr()->Prcb;
        ++v27->IpiSendSoftwareInterruptCount;
        LOBYTE(v17) = KiIpiSend(&v34);
      }
      else if ( v17 == 5 )
      {
        v31 = 0;
        v19 = (volatile signed __int32 *)(v4 + 52);
        while ( _InterlockedExchange(v19, 1) )
        {
          do
          {
            if ( ++v31 & HvlLongSpinCountMask || !(HvlEnlightenments & 0x40) )
              _mm_pause();
            else
              HvlNotifyLongSpinWait(v31);
          }
          while ( *v19 );
        }
        if ( *(_BYTE *)(v4 + 0x68) == 5
          && !*(_BYTE *)(v4 + 0x6A)
          && !*(_WORD *)(v4 + 0x86)
          && (!*(_DWORD *)(v3 + 0x1C) || !*(_WORD *)(v4 + 0x84) && !*(_BYTE *)(v4 + 0x54)) )
        {
          KiSignalThread(v32, 256);
          *(_BYTE *)(v4 + 56) |= 0x10u;
        }
        LOBYTE(v17) = 0;
        _InterlockedAnd(v19, 0);
      }
    }
  }
  return v17;
}
0xwangliang
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php上传进度条APC
11-01
步,把dll文件放到扩展库目录下。 第三步,restart WEB Server 就ok了。 怎么使用呢?道理很简单。对上传的文件添加一个标记,就可以在其它的php程序中用这个标记访问它。这个标记通常叫做挂钩(Hook)。...
APC注入
weixin_30872157的博客
11-20 790
APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理(WaitForSingObjectEx,SleepEx) 如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 APC有两种存在形式: 1.为系统和驱动生成的APC(内...
内核函数KiInsertQueueApc说明
qq_45806710的博客
02-08 1385
根据KAPC结构中的PpcStateIndex找到对应的A队列3在根据KAPC结构中的ApoMode确定是用户队列函数内核队列 将KAPC挂到对应的队列中(挂 到KAPCApcKistEntry处) 7在根据KAPC结构中的Inserted置1,标识当前的APC为已插入状态 9修改KAPC_ STATE结构中的Kerne lApcPending/UserApcPending ...
windows内核情景分析 --APC
maomao171314的专栏
04-04 2061
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
APC应用
weixin_34189116的博客
06-29 272
先说两个典型的应用 1. IoCompleteRequest内部实现,实现在任意上下文的时候,插入kernel APC,把IO操作结果返给相应的线程。 2. Set/Get 上下文的内部实现。 User mode APC:在系统进入Alert状态才会Deliver ,可以参考KeWaitXXXX系列函数,KeTestAlertThread可以返回是否Altert状态。 Kernel ...
APC学习记录
qq_45844442的博客
10-28 616
插入过程主要是根据参数决定APC插入链表的位置执行过程主要是先执行参数的KernelRoutine的代码,如果有NormalRoutine则跳到三环去遍历执行再回到内核,以此往复将链表中的所有APC执行完毕。
Windows11_22H2下的APC机制分析
lkylky123789的博客
01-04 913
APC机制分析
APC Injection of Windows 7 x86 in R0
weixin_30814319的博客
09-05 225
APC Injection of Windows 7 x86 in R0 Introduction When running in kernel mode, it may be necessary to inject code into a User-land process. We can use the Asynchronous Procedure Calls(APCs) to ac...
投递APC失败,是什么原因?
陈刚编程心得与知识集
01-13 770
我见网上都是用内存映射的方法!而我为了图方便就用的RtlMoveMemory 但是调试发现KeInsertQueueApc函数成功,但是Thread+0x40,也就是ApcState->ApcListHead没有我的ListEntry,头和尾是一样的!不解,难道非要用内存映射的方法? 还是KeInitializeApc的什么出错了? kd> dt _KAPC 8728a230 ntdll!
Windows下基础免杀技术
MachineGunJoe666
09-04 1489
例如,CS可以直接生成各种格式的shellcode。
APC220半双工USB无线数传模块,附使用说明/通讯软件/驱动等-电路方案
04-21
种方式首先需要设1 个主站,其余为从站,所有站点都必须设置一个唯一的地址。具体详见附件描述。APC220半双工USB无线数传模块实物截图: APC220半双工USB无线数传模块性能描述: 基本参数性能参数 电源 3.3 – 5.5...
php_apc.dll
10-30
eaccelerator似乎比APC更快,但是,如果你正在运行多个实例的Apache在同一服务器上,你会明白了第缓存工具 PHP使用. 我使用两个APC及eaccelerator, APC似乎是越来越好,仅在过去3个月内(自01/2006 ) . 注意:在不久的...
PHP利用APC模块实现大文件上传进度条的方法
12-19
查询baidu 、Google ,大体做带进度的上传方式为:flash+php,socket,apc+php等,下面我介绍了apc +php+ajax制作的带进度的上传,并贴出源码,希望对...第步:让php.ini支持apc扩展模块。 将php_apc.dll放入你的ext
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1118
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline的
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5481
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
APC初始化 —— 逆向分析 KeInitializeApc
walker的博客
03-19 740
简介 操作系统想要实现对正在执行的线程的管理,就要通过 APC 机制实现,即向目标线程的 APC 队列中插入 _KAPC ,以实现对该线程的管理(如挂起、终止)。 而向线程插入 APC 就需要先初始化 APC ,在 Windows中使用 KeInitializeApc 函数实现对APC 的初始化。 以 PspTerminateThreadByPointer 函数为例,部分重要汇编指令如下: 逆向分析KeInitializeApc ...
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1690
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
内核中通过给线程插apc注入dll
sgzwiz的专栏
03-03 7836
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
Python基础学习笔记(四)——运算符
最新发布
dandellion_的博客
05-16 1191
对于含有负数的取模运算,有以下规律:余数与除数的符号相同,余数的绝对值小于除数的绝对值。可以先取绝对值作取模运算,若结果不满足上述,则加上除数的整数倍,直至相符。一定不同,即使序列中的元素就是参与比较的数值,因为。参数赋值的运算符的组成为:算术运算符 +关于数据类型的分类的解释,这里不再展开。,组合类型的值的比较有更复杂的规则。的应用比较简单,这里提一下,常见于。,否则无法解包并报错,但。中的正数和负数的格式,如。)的关系,运算结果均为。的功能差别,不要混淆。)的关系,运算结果均为。,移位方向跟名字一致。
Windows APC原理
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值