APC挂入过程

最新推荐文章于 2022-08-02 15:20:01 发布
最新推荐文章于 2022-08-02 15:20:01 发布
阅读量366 收藏
点赞数
分类专栏: # APC 滴水中级上
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/91357621
版权

APC结构

nt!_KAPC
+0x000 Type : Int2B apc类型为0x12
+0x002 Size : Int2B 结构体大小0x30
+0x004 Spare0 : Uint4B 未使用
+0x008 Thread : Ptr32 _KTHREAD 目标线程
+0x00c ApcListEntry : _LIST_ENTRY APC队列挂的是这个位置
+0x014 KernelRoutine : Ptr32 void 指向函数IopDeallocateApc (调用ExFreePoolWithTag释放APC)
+0x018 RundownRoutine : Ptr32 void
+0x01c NormalRoutine : Ptr32 void 用户APC总入口Ke UserApcDispatcher 或者真正内核apc函数
+0x020 NormalContext : Ptr32 Void 内核APC :NULL 用户APC :真正的apc函数
+0x024 SystemArgument1 : Ptr32 Void dwData
+0x028 SystemArgument2 : Ptr32 Void
+0x02c ApcStateIndex : Char 挂哪一个队列,0 1 2 3
+0x02d ApcMode : Char 内核APC 0 用户APC 1
+0x02e Inserted : UChar 表示本APC是否已挂入队列 挂入前 0 挂入后 1

在这里插入图片描述

在这里插入图片描述

TargetEnvironment=0: APC会挂到其亲生父亲的进程中去。
TargetEnvironment=1: APC会挂到其养父的进程中去。也就是挂靠的进程
TargetEnvironment=2: 当前环境,如果线程没有挂靠,就挂到亲生父亲进程。 如果线程挂靠了,就把APC挂到挂靠的进程。 在初始化APC函数里 判断了TargetEnvironment2 然后修正ApcStateIndex
TargetEnvironment=3: 插入APC时的当前环境。 意思是,APC初始化的时候线程可能是挂靠状态,而在插入APC的时候 线程可能不再处于挂靠状态, 那么取的值是非挂靠状态。在插入APC函数里 判断了TargetEnvironment3 然后修正ApcStateIndex
自己用的时候,2和3用不到。

**总结:如果要往亲生父亲进程发送APC TargetEnvironment =0 要发给挂靠的环境TargetEnvironment =1 **

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

自己实现APC插入

//参数1: 要执行的APC函数地址
//参数2:传给APC函数的参数 
// 返回值是KAPC指针
PVOID InitApc(ULONG handle,PVOID NormalContext,ULONG Data)
{
	//申请0x30字节的内存
	ULONG Thread=0;
	PKAPC pAPC=ExAllocatePoolWithTag(NonPagedPool | POOL_QUOTA_FAIL_INSTEAD_OF_RAISE,0x30,0);

	if (!pAPC)
	{
		DbgPrint("初始化APC申请内存失败\n");
		return NULL;
	}

	//初始化APC结构体
	RtlFillMemory(pAPC,0x30,0);

	Thread=FindKernelObjectByHandle(handle);
	//为APC结构体赋值。
	pAPC->Type=0x12;
	pAPC->Size=0x30;
	pAPC->Thread=(PKTHREAD)Thread;
	pAPC->KernelRoutine=(PVOID)0x80573f30 ;    // 这个值来自于0x80573f30  是函数IopDeallocateApc的地址
	pAPC->RundownRoutine=0;  //0
	pAPC->ApcStateIndex=0;
	pAPC->NormalRoutine=(PVOID)0x7c82c0de;    //这个值来自于QueueUserApc 反汇编代码中 调用ZwQueueThreadApc  push的NormalRoutine的值
	pAPC->NormalContext=NormalContext;
	pAPC->SystemArgument1=(PVOID)Data;
	pAPC->ApcMode=1;
	pAPC->Inserted=0; 
	DbgPrint("---ETHREAD=---%x\n",Thread);
	DbgPrint("---apc=---%x\n",(ULONG)pAPC);
	return pAPC;
}
//需要传入KAPC结构体
VOID InsertApc(PKAPC pAPC)
{
	
	PULONG pThread=NULL;
	PULONG AttachAddr=NULL;
	PLIST_ENTRY pUserApcLIst=NULL;
	PLIST_ENTRY pApcListEntry=NULL; 
	PLIST_ENTRY Flink;
	*(PULONG)0x41701c=0x11136;

	if (pAPC->Inserted==1)
	{
		return;
	}
	pThread=(PULONG)(pAPC->Thread);

	pUserApcLIst=(PLIST_ENTRY)(*(pThread+0x138/4)+8);	
	pApcListEntry=(PLIST_ENTRY)((PULONG)pAPC+3);

	pApcListEntry->Flink = pUserApcLIst->Flink;
    pApcListEntry->Blink = pUserApcLIst;
	//插入头节点和第二个节点之间  当链表为空时,插入第一个元素  链表的Blink和Flink为同一个值,就是这个元素的地址   
	//而这个元素内ApcListEntry的Flink和Blink都是这个链表的地址(线程中的APC队列地址)
    pUserApcLIst->Flink->Blink = pApcListEntry;
    pUserApcLIst->Flink = pApcListEntry;  




	//插入APC完成
	pAPC->Inserted=1;

	//修改ETHREAD 的UserPending为1
	*((PUCHAR)pThread+0x4a)=1;
}
qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.APC挂入过程
My classmates
10-23 643
无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。 每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。 kd> dt _kapc nt!_KAPC +0x000 Type //类型APC类型为0x12 +0x002 Size //本结构体的大小0x30...
4.内核APC执行过程
My classmates
10-24 1777
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
Windows APC学习笔记(二)—— 挂入过程&执行过程
qq_41988448的博客
02-29 1279
Windows APC学习笔记(二)—— 挂入过程&执行过程前言基础知识挂入过程KeInitializeApcApcStateIndex 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列 每当要挂入一个APC函数时,不管是内核APC还是用户AP...
windows内核学习之APC队列得插入过程
windows小菜鸡的博客
11-30 218
深入学习APC
求索
05-12 2406
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
APC.rar_APC processing_callback
09-20
APC中文叫异步过程调用(APC)是NT异步处理体系结构中的一个基础部分。Alertable IO(告警IO)提供了更有效的异步通知形式,当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行,也就是一个APC过程。线程...
apc.rar_APC_APC 调用_QueueUserAPC _queueuserapc pudn_空态APC
09-24
在Windows操作系统中,异步过程调用(Asynchronous Procedure Call, APC)是一种线程间通信的方式,用于在不同优先级的上下文中执行回调函数APC分为两种类型:用户态APC(User-Mode APC)和核心态APC(Kernel-Mode...
滴水逆向培训高级班
11-22
│ 03 APC挂入过程.mp48 g! H4 s1 V; ]+ b4 Y9 H0 L- B │ 04 内核APC执行过程.mp4 │ 05 用户APC执行过程.mp4 │ ├─事件等待' x% `" J' } ?& S: t' ]# I5 \5 G │ 01临界区.mp4- o( U$ W9 O+ ` ~0 u4 ~, @. \ │...
基于PHP的52挂Q.zip
07-17
6. **PHP框架**:PHP有众多优秀的框架,如Laravel、Symfony、CodeIgniter、Yii等,它们提供了一套标准的开发流程和工具,简化了开发过程,提高了开发效率。 7. **错误和异常处理**:PHP支持传统的错误报告以及更...
process-inject:在Windows环境下的进程注入方法:远程线程注入,创建进程挂起注入,反射注入,APCInject,SetWindowHookEX注入
01-30
4. **APCInject(异步过程调用注入)**:APC注入利用了Windows的消息队列机制。攻击者向目标进程的线程发送一个APC,当线程进入空闲状态时,会执行APC中包含的代码。这通常通过`QueueUserAPC`函数完成,使得注入更加...
APC异步过程调用
kernweak的博客
09-03 2427
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
风机中的有功控制模型(APC
sinat_17306241的博客
03-01 1585
APC的目标: 实施最大风电出力 通过减载产生一个特点的裕度 实施有功爬坡限制 对系统频率偏差进行响应 APC的功能需要通过让标志位apcflg为1来实现。 在具有接近标称系统频率的正常操作规范下,控制要么通过产生比风可获得的更少的功率来强制最大工厂输出(即,Pmax)或提供指定的容限(例如,产生的实际功率是95%的 可用功率,或Pbc = 0.95) Aux_sig是一个辅助的频率信...
Windows 远程内核漏洞注入
03-16 5937
Windows 远程内核漏洞注入作者:Barnaby Jack译:北极星2003EMAIL:zhangjingsheng_nbu@yahoo.com.cn说明:只翻译原资料的所有技术相关部分, 忽略了一小部分冗余信息。-------------------------------------------------------------------------------------------
DLL注入技术之APC注入
潜心学习
06-28 2485
DLL注入技术之APC注入     APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断。     2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函
APC注入以及几种实现方式
include_voidmain的博客
08-02 2042
APC注入以及几种实现方式
内核篇-----备用APC
qq_45806710的博客
02-08 1081
备用APC队列 Kd>dt _KTHREAD Nt!_KTHREAD +0x034 ApcState :_KAPC_STATE +0x138 ApcStatePointer:[2]Ptr32_KAPC_STATE +0x14c SavedApcState :_KAPC_STATE +0x165 ApcStateIndex :UChar +0x166 ApcQueueable :UChar .. 1.SavedApcState的意义: A进程中的T线程中的所有APC函数,要访问的内存地址都是A进程的
APC的内部实现
求索
08-26 3366
APC的内部实现 今天心情如同死去的病人的心电图一般,直线一条。所以没啥好说的。 天津泰达拿了亚军,还是挺给力的,下赛季去球场看亚冠,多少年没去现场看球了,上次去还是泰达球场的落成仪式,泰达2:1墨尔本,虽然中国足球没什么好看的,但是球场是一个比较便宜
APC机制详解
鬼手的博客
02-15 6364
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
先进过程控制(APC)技术详解及其在石油化工的应用
APC(先进过程控制)综述 在石油化工行业中,APC技术是提升生产效率和产品质量的重要手段。常规的PID控制虽然在单一变量控制中表现出色,但面对复杂的多变量、非线性、耦合的过程,其效能受到限制。APC则通过运用多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值