APC注入

最新推荐文章于 2023-03-02 15:36:54 发布
最新推荐文章于 2023-03-02 15:36:54 发布
阅读量213 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31582127/article/details/86151175
版权

APC注入

0X01 注入原理

      当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的

            具体的流程:

            1 当EXE里的某个线程执行到sleepEX(),或者waitForSingleObjectEX()(其实还有WaitForMultipleObjectsEx

 , SignalObjectAndWait,MsgWaitForMultipleObjectsEx)这几个函数时,会产生一个软中断。

            2 当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数。

            3.利用QueueUserAPC()这个API可以在软中断的时间内插入一个函数指针,如果我们插入的是Loadlibrary()执行函数的话,就能达到注入DLL的目的

0x02代码实现

          在注入的操作准备前需要提升权限,使我们有足够的权限去对相应的函数进行操作。

  三步。

      1先OpenProcessToken()打开令牌,

2然后LookupPrivilegeValue()

      3AdjustTokenPrivileges()调整令牌权限,提取完毕进行注入

 

 

注入:

      1先要根据进程ID,开启我们的远程注入线程。

      2开启完毕后,需要进行相应的内存的空间申请VirtualAllocEx(ProcessHandle, NULL, (wcslen(wzDllFullPath) + 1) * sizeof(WCHAR), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

拥有自己的空间后就可以根据路径写入待注入的DLL路径。

      3 用WriteProcessMemory()函数

      4 再根据GetProcAddress(GetModuleHandleA("ntdll.dll"), "LdrLoadDll");   //LadrloadDll得到我们LoadLirbrary()地址

5 最后调用sleepEx()函数,利用QueueUserApc()函数对APC队列进行操作,完成注入。这里是因为sleepEx可以触发这个函数

完整代码如下:

// LoadExe.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <iostream>

using namespace std;
typedef struct _UNICODE_STRING
{
    USHORT                    Length;
    USHORT                    MaximumLength;
    PWSTR                    Buffer;
} UNICODE_STRING, *PUNICODE_STRING;


typedef struct _INJECT_STRUCT {
    UINT_PTR LdrLoadDllAddress;   //4
    UNICODE_STRING DllFullPath;   //4,4
    HANDLE OutHandle;
} INJECT_STRUCT, *PINJECT_STRUCT;
UINT32 MakeShellCode(UINT8* ShellCodeData, PVOID Address);

BOOL InjectByAPC(int ProcessID, int ThreadID, const char *szDllFullPath);
int GrantDebugPrivileges();
//analyzer.py  ---> Start(LoadExeFullPath,Inject,ProcessID,ThreadID,DllPath) LoadExe()
//APC 注入
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{

    int ProcessID = 0;
    int ThreadID = 0;



    if (__argc < 2)
    {
        return -1;
    }
    if (!strcmp(__argv[1], "Inject"))
    {

        GrantDebugPrivileges();
        ProcessID = atoi(__argv[2]);
        ThreadID = atoi(__argv[3]);
        return InjectByAPC(ProcessID, ThreadID, __argv[4]);
    }
    return 0;
}







//Target,exe  
BOOL InjectByAPC(int ProcessID, int ThreadID, const char *szDllFullPath)
{
    HANDLE ProcessHandle = NULL;
    HANDLE ThreadHandle = NULL;
    if (ProcessID <= 0 || ThreadID < 0)
    {
        return FALSE;
    }
    printf("Success\r\n");
    ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessID);    //
    if (ProcessHandle == NULL) 
    {

        return FALSE;
    }

    if (ThreadID > 0) {
        ThreadHandle = OpenThread(THREAD_ALL_ACCESS, FALSE, ThreadID);
        if (ThreadHandle == NULL) 
        {
            CloseHandle(ProcessHandle);
            return FALSE;
        }
    }



     //malloc  virtualalloc  globalalloc  heapalloc  new  malloc

    //注入都要在目标进程空间中申请内存  写入Dll的绝对路径
    UINT32 DllPathLength = 0;
    DllPathLength = (UINT32)strlen(szDllFullPath);
    WCHAR* wzDllFullPath = (WCHAR*)calloc(1, (DllPathLength + 1) * sizeof(WCHAR));   //在LoadEx进程空间中
    if (wzDllFullPath == NULL) 
    {

        return FALSE;
    }
    for (int i=0;i<DllPathLength;i++)
    {
        wzDllFullPath[i] = (UINT16)szDllFullPath[i];
    }

    //单字转换双字

    WCHAR* wzDllFullPathData = (WCHAR*)VirtualAllocEx(ProcessHandle, NULL, (wcslen(wzDllFullPath) + 1) * sizeof(WCHAR), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    if (wzDllFullPathData == NULL) 
    {
        free(wzDllFullPath);
        wzDllFullPath = NULL;


        return FALSE;
    }
    SIZE_T ReturnSize = 0;
    if (!WriteProcessMemory(ProcessHandle, wzDllFullPathData, wzDllFullPath, (wcslen(wzDllFullPath) + 1) * sizeof(WCHAR), &ReturnSize)) 
    {

        free(wzDllFullPath);
        wzDllFullPath = NULL;

        return FALSE;
    }
    LPVOID LdrLoadDll;
    LdrLoadDll = GetProcAddress(GetModuleHandleA("ntdll.dll"), "LdrLoadDll");   //LadrloadDll

    INJECT_STRUCT InjectStruct = {0};

    InjectStruct.LdrLoadDllAddress = (UINT_PTR)LdrLoadDll;
    InjectStruct.DllFullPath.Buffer = wzDllFullPathData;
    InjectStruct.DllFullPath.Length = InjectStruct.DllFullPath.MaximumLength = (USHORT)(wcslen(wzDllFullPath) * sizeof(WCHAR));



    PINJECT_STRUCT InjectStructData = NULL;
    InjectStructData = (PINJECT_STRUCT)VirtualAllocEx(ProcessHandle, NULL, sizeof(INJECT_STRUCT), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    if (InjectStructData == NULL)
    {
        free(wzDllFullPath);
        wzDllFullPath = NULL;

        return FALSE;
    }

    if (!WriteProcessMemory(ProcessHandle, InjectStructData, &InjectStruct, sizeof(INJECT_STRUCT), &ReturnSize))
    {
        free(wzDllFullPath);
        wzDllFullPath = NULL;

        return FALSE;
    }
    char szShellCode[64] = {0};
    UINT32  ShellCodeSize  = MakeShellCode((UINT8*)szShellCode, InjectStructData);

    CHAR* szShellCodeData = NULL;
    szShellCodeData =(CHAR*)VirtualAllocEx(ProcessHandle, NULL, ShellCodeSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    if (szShellCodeData == NULL) 
    {
        free(wzDllFullPath);
        wzDllFullPath = NULL;


        return FALSE;
    }

    if (!WriteProcessMemory(ProcessHandle, szShellCodeData, szShellCode, ShellCodeSize, &ReturnSize)) 
    {
        free(wzDllFullPath);
        wzDllFullPath = NULL;

        return FALSE;
    }



    if (ThreadHandle)
    {
        
        if(!QueueUserAPC((PAPCFUNC)szShellCodeData,ThreadHandle, (ULONG_PTR)InjectStructData))
        {
            free(wzDllFullPath);
            wzDllFullPath = NULL;
            return FALSE;
        }


    }

    free(wzDllFullPath);
    wzDllFullPath = NULL;
    return TRUE;
}








int GrantDebugPrivileges()
{
    HANDLE TokenHandle = NULL;
    TOKEN_PRIVILEGES PrivilegesToken;
    LUID v1;
    int iRet;

    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &TokenHandle))
    {
        return 0;
    }

    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &v1)) 
    {
        CloseHandle(TokenHandle);
        return 0;
    }
    PrivilegesToken.PrivilegeCount = 1;
    PrivilegesToken.Privileges[0].Luid = v1;
    PrivilegesToken.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    iRet = AdjustTokenPrivileges(TokenHandle, FALSE, &PrivilegesToken, sizeof(PrivilegesToken), NULL, NULL);
    CloseHandle(TokenHandle);

    return iRet;
}

 

posted @ 2017-02-22 09:47 Clay- 阅读( ...) 评论( ...) 编辑 收藏
剑有心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
注入技术之APC注入
whs100505的博客
02-10 728
APC注入 原理:每个线程都有一个APC队列,当调用SleepEx,SignalObjectAndWait,WaitForSingleObjectEx,WaitForMultipleObjectsEx或MsgWaitForMultipleObjectsEx进入警报状态时,系统会遍历该线程的APC,按照先进先出的顺序执行APC。 #include <Windows.h> bool AP...
注入系列:APC注入(Ring3)
weixin_43742894的博客
03-22 898
APC注入的作用:APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。 要了解APC注入,我们首先来了解Windows的APC机制。 APC机制详细可参考本文:https://blog.csdn.net/qq229596421/article/details/77828647 简单来说,APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。 APC队列:每个线程都有...
防游戏检测之易语言APC注入DLL技术
热门推荐
hzw320的博客
08-18 1万+
本文章转载来自:http://bbs.dult.cn/thread-23291-1-1.html APC注入是什么原理? 首先我们得来了解下它是什么东西,才能更好的运用它,关于APC对于懂微软api函数使用的学员来说可能不陌生,新手估计没有接触过。 APC 注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的, 其具体流...
注入(一):APC注入
零点起步
04-14 1412
APC注入:Asynchronous Procedure Call,异步过程调用,每个线程都有一个APC队列,在用户模式下,当线程调用SleepEx,WaitForSingleObjectEx等进入"Alterable Wait Status.  此时系统会遍历APC队列,先进先出地处理其中函数(QueueUserAPC)  优:比较隐蔽 缺:实现的条件苛刻 //负责注入的exe #incl
易语言移植的APC注入源码
06-06
易语言移植的APC注入源码是一个涉及到Windows操作系统编程、进程通信和恶意代码技术的知识点。APC(Asynchronous Procedure Call)是Windows API提供的一种异步处理机制,常用于线程间的通信。在易语言中实现APC注入...
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统中实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
APC注入测试源码C++
12-19
一个对APC注入进行学习测试的例子,可以在用户态下执行。但是对系统进程仍无法进行注入,不清楚是权限问题还是其他的问题。 工程在vs2012下编译测试成功。 共有三个工程 1、ApcInject 实现Apc注入功能 2、InjectTest...
易语言移植的APC注入
07-22
在这个场景中,"易语言移植的APC注入"指的是将APC注入技术应用到易语言的环境中,使得开发者能够利用易语言编写相关的注入程序。 APC注入的基本原理是通过系统调用,将一个函数(通常是一个DLL中的函数)添加到另一...
APC注入实现代码
07-30
在IT领域,特别是系统编程和安全研究中,"APC注入实现代码"是一个涉及操作系统内核和用户模式之间交互的重要技术。"Ring0 + Ring3"标签进一步强调了这一技术在不同权限级别的运用。让我们深入探讨这个主题。 首先,...
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动级dll注入源码 在xp系统可以注入dll到保护的进程
易语言移植的APC注入源码-易语言
06-13
"易语言移植的APC注入源码"是一个针对易语言的高级教程,主要涉及到Windows系统编程中的异步过程调用(Asynchronous Procedure Calls, APC)技术。 APC是Windows操作系统内核中的一种机制,它允许在用户模式下的...
移植的APC注入
02-05
【移植的APC注入】是一种在Windows操作系统中实现线程上下文切换时执行代码的技术,主要涉及系统级编程和安全领域。APC(Asynchronous Procedure Call)是Windows API提供的一种异步过程调用机制,允许在不同的线程...
易语言源码易语言移植的APC注入源码.rar
02-21
易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar ...
易语言 注入源码 大全 远程线程注入 消息钩子注入 输入法注入 注册表注入 IAT永久注入 进程暂停注入 apc注入
11-20
APC注入利用此特性,在目标线程的上下文中执行注入的代码,通常用于实现跨线程操作或隐蔽的代码执行。 以上技术在合法的软件开发中,如调试、性能优化等场景中有应用,但它们也常常被恶意软件利用,因此在使用时需...
APC_dll注入
qq_36918532的博客
03-03 439
主要是以下五步 //注入器 //1.要注入到进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
关于dll注入方式的学习(APC注入
2201_75856701的博客
03-02 824
QueueUserAPC 函数的第一个参数表示执行函数的地址,当开始执行该APC的时候,程序会跳转到该函数地址处来执行。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。这里介绍一下应用程序的APCAPC是往线程中插入一个回调函数,但是用的APC调用这个回调函数是有条件的,如msdn所示。当处于用户模式的APC被压入到线程APC队列后,线程并不会立刻执行压入的APC函数,而是要等到线程处于。
编程实现APC注入dll到进程
yeanhoo的博客
09-23 334
APC注入 线程被唤醒时APC中的注册函数会被执行,因此使用QueueUserAPCAPC队列插入函数即可完成注入 #include <stdio.h> #include <windows.h> #include <Tlhelp32.h> BOOL ApcInject(char *,char *); DWORD GetProcessIdByProcessName(char *); BOOL GetAllThreadIdByProcessId(DWORD,PDWORD,P
windows apc注入原理
最新发布
06-11
Windows APC(Asynchronous Procedure Call)注入是一种常见的注入技术,它利用了 Windows 操作系统中的异步过程调用机制来实现注入。具体原理如下: 1. 创建目标进程 首先,攻击者需要创建一个目标进程,该进程将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值