APC学习记录

已于 2024-04-15 09:51:27 修改
阅读量675 收藏 3
点赞数
分类专栏: windows内核 文章标签: 学习 驱动开发 安全 系统安全 windows
于 2023-10-28 19:16:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45844442/article/details/134089592
版权

文章目录

APC概念

APC全称叫做异步过程调用,英文名是 Asynchronous Procedure Call,在进行系统调用、线程切换、中断、异常时会进行触发执行的一段代码,其中主要分为内核APC用户APC,故名思意内核APC在执行时APC的代码在内核,用户APC在执行时代码在用户层。

APC是依赖于线程的,所以在线程的KTHREAD中可以找到关于APC的所有相关信息

APC插入、执行过程逆向分析

插入过程

因为APC的插入会调用KeInsertQueueApc,我们逆向分析这个函数即可
在这里插入图片描述在这里插入图片描述插入过程很简单,KeInsertQueueApc其实是在判断APC队列是否禁用或APC是否插入,对应的WRK代码如下
在这里插入图片描述继续跟入KiInsertQueueApc,其中也是根据各种APC模式来进行插入位置的选择
在这里插入图片描述
对应的WRK代码如下
在这里插入图片描述
这里就不继续往下面跟了,感兴趣可以仔细阅读WRK的代码和注释

执行过程

APC执行调用的是KiDeliverApc函数,其中会先执行KernelRoutine中的代码,如果NormalRoutine不为空,则调用KiInitializeUserApc对用户APC进行初始化操作

在这里插入图片描述KiInitializeUserApc通过KeContextFromKframes将KTRAP_FRAME保存一份,以便后续返回使用
在这里插入图片描述修改EIP,使其跳转到三环的KeUserApcDispatcher,执行用户的APC代码
在这里插入图片描述
以上分析对应的WRK代码如下,也可以看出先执行KernelRoutine,后执行NormalRoutine
在这里插入图片描述

总结

插入过程主要是根据参数决定APC插入链表的位置
执行过程主要是先执行参数的KernelRoutine的代码,如果有NormalRoutine则跳到三环去遍历执行再回到内核,以此往复将链表中的所有APC执行完毕

代码演示

用户层被插入代码

#include<stdio.h>
#include<windows.h>

void haha()
{
    printf("APC被执行了!\n");
}

int main()
{
    printf("pid:%d 函数地址:%x \n", GetCurrentThreadId(), haha);
    while (1)
    {
        SleepEx(30000,FALSE);
        printf("qqqqqqqqqqqq\n");
    }
}

驱动头文件“test.h”

#pragma once
#include<ntifs.h>

typedef
VOID
(*PKNORMAL_ROUTINE) (
	IN PVOID NormalContext,
	IN PVOID SystemArgument1,
	IN PVOID SystemArgument2
	);

typedef
VOID
(*PKRUNDOWN_ROUTINE) (
	IN struct _KAPC* Apc
	);

typedef
VOID
(*PKKERNEL_ROUTINE) (
	IN struct _KAPC* Apc,
	IN OUT PKNORMAL_ROUTINE* NormalRoutine,
	IN OUT PVOID* NormalContext,
	IN OUT PVOID* SystemArgument1,
	IN OUT PVOID* SystemArgument2
	);

typedef enum _KAPC_ENVIRONMENT {
	OriginalApcEnvironment,
	AttachedApcEnvironment,
	CurrentApcEnvironment,
	InsertApcEnvironment
} KAPC_ENVIRONMENT;

VOID KeInitializeApc(
	__out PRKAPC Apc,
	__in PRKTHREAD Thread,
	__in KAPC_ENVIRONMENT Environment,
	__in PKKERNEL_ROUTINE KernelRoutine,
	__in_opt PKRUNDOWN_ROUTINE RundownRoutine,
	__in_opt PKNORMAL_ROUTINE NormalRoutine,
	__in_opt KPROCESSOR_MODE ApcMode,
	__in_opt PVOID NormalContext
);

BOOLEAN KeInsertQueueApc(
	__inout PRKAPC Apc,
	__in_opt PVOID SystemArgument1,
	__in_opt PVOID SystemArgument2,
	__in KPRIORITY Increment
);

BOOLEAN
KeAlertThread(
	__inout PKTHREAD Thread,
	__in KPROCESSOR_MODE AlertMode
);

驱动代码

#include<ntifs.h>
#include"test.h"

VOID DriverUnload(_In_ struct _DRIVER_OBJECT* DriverObject)
{
	DbgPrint("--------------DRIVER_UNLOAD-----------------");
}

VOID kernelRoutineFunc(
	IN struct _KAPC* Apc,
	IN OUT PKNORMAL_ROUTINE* NormalRoutine,
	IN OUT PVOID* NormalContext,
	IN OUT PVOID* SystemArgument1,
	IN OUT PVOID* SystemArgument2
)
{
	DbgPrintEx(77, 0, "[db]:---------kernelRoutineFunc pid = %d--------------\r\n", PsGetCurrentProcessId());
	DbgPrintEx(77, 0, "[db]:kernelRoutineFunc\r\n");
	ULONG64 addr = 0x401000;

	PsWrapApcWow64Thread(NULL, &addr);
	*NormalRoutine = addr;

	ExFreePool(Apc);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
	PKAPC pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
	memset(pApc, 0, sizeof(KAPC));

	PETHREAD eThread = NULL;
	PsLookupThreadByThreadId(2632, &eThread);

	KeInitializeApc(pApc, eThread, OriginalApcEnvironment,
		kernelRoutineFunc, NULL, 0x401000, UserMode, (PVOID)1);
	DbgBreakPoint();
	*(PCHAR)((PCHAR)eThread + 0x4c) |= 0x20;

	BOOLEAN is = KeInsertQueueApc(pApc, eThread, NULL, 0);
	if (!is)
	{
		ExFreePool(pApc);
	}

	KeAlertThread(eThread, UserMode);

	pDriverObject->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;
}

驱动代码中主要有两个新鲜的函数PsWrapApcWow64ThreadKeAlertThread

PsWrapApcWow64Thread:将在 64 位操作系统上运行的 32 位应用程序线程上的 APC 包装成适用于 Wow64 环境的形式,这样驱动就可以直接在64位下进行插入,如果读者想修改成32位可以把这个函数删除并将eThread + 0x4c改为eThread + 0x3c

KeAlertThread:可以立即执行我们插入的APC函数

参考资料

https://www.cnblogs.com/sanyimitian/p/14219541.html
https://blog.csdn.net/hongduilanjun/article/details/126850904
火哥视频

mi-key
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于dll注入方式的学习APC注入)
2201_75856701的博客
03-02 815
QueueUserAPC 函数的第一个参数表示执行函数的地址,当开始执行该APC的时候,程序会跳转到该函数地址处来执行。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。这里介绍一下应用程序的APCAPC是往线程中插入一个回调函数,但是用的APC调用这个回调函数是有条件的,如msdn所示。当处于用户模式的APC被压入到线程APC队列后,线程并不会立刻执行压入的APC函数,而是要等到线程处于。
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1715
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
Windows APC学习笔记(一)—— APC的本质&备用APC队列
qq_41988448的博客
01-12 2879
Windows APC机制学习笔记(一)—— APC的本质前言基础知识APCAPC队列APC结构总结分析 KiServiceExit 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断...
投递APC失败,是什么原因?
陈刚编程心得与知识集
01-13 773
我见网上都是用内存映射的方法!而我为了图方便就用的RtlMoveMemory 但是调试发现KeInsertQueueApc函数成功,但是Thread+0x40,也就是ApcState->ApcListHead没有我的ListEntry,头和尾是一样的!不解,难道非要用内存映射的方法? 还是KeInitializeApc的什么出错了? kd> dt _KAPC 8728a230 ntdll!
【转】逆向工程之内核下创建用户进程(插APC
okmnji79513的专栏
08-27 977
https://forum.eviloctal.com/thread-32192-1-1.html  //By:Eros412#include #include PKAPC_STATE ApcState;ULONG peprocess;ULONG explorer;PMDL mdl;typedef enum _KAPC_ENVIRONMENT { O
APC异步过程调用
kernweak的博客
09-03 2427
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
APC-DEVMEDIA
03-09
在深入学习"APC-DEVMEDIA"之前,首先需要查看项目文档、源代码(如果有的话)以及示例代码,了解其具体功能和使用方法。此外,熟悉Dart的基本语法和编程习惯也将有助于理解该项目。通过这些,你可以充分利用"APC-...
PHP从入门到精通学习记录完整笔记整理分享
02-19
1. **缓存技术**:使用APC、Memcached或Redis进行数据缓存,减少数据库查询压力。 2. **代码优化**:避免使用全局变量,减少不必要的数据库查询,优化算法,提高代码执行效率。 3. **PHP配置优化**:合理设置`...
学习Yii2
02-09
6. **缓存管理**:框架内置了多种缓存策略,如文件缓存、内存缓存(如APC, Memcached, Redis)等,可以有效提升应用程序的性能。 7. **依赖注入**:Yii2支持依赖注入,通过容器管理对象的依赖关系,增强了代码的可...
APC实施方法论PPT教学课件.pptx
10-06
离线控制器仿真和调试有助于在实际运行前发现问题并进行调整,同时,详细设计报告记录了所有设计决策和结果。 集成和调试阶段,安装推理预测器、操作员界面,并对操作员和工程师进行培训,确保他们能够熟练操作新的...
目标跟踪算法KCF加入APCE评价标准的matlab源代码
03-24
4. **APCE遮挡评价**:这部分代码会根据跟踪结果的历史记录,动态调整错误比例阈值,以适应遮挡条件。 5. **参数调优**:项目中提到有两个参数可以调试,可能指的是与APCE相关的影响跟踪性能的参数,例如错误容忍度...
Windows WoW64浅析
最新发布
u010551008的博客
03-08 234
在默认情况下,32位组件访问32位视图,64位组件访问64位视图,这为32位和64位组件提供了一个安全的环境,并且将32位应用程序的状态与64位应用程序的状态隔开来。由于X64是X86扩展,从32位代码向64位代码切换并不是那么困难,代码段描述符告诉处理器将代码当作X86代码还是X64代码,32位寄存器其实就是64位寄存器忽略高一半内容,32位模式RAM的4GB的编址和64位模式低4GB一样,因此从X86代码调用到X64代码,所有需要做的就是调用一个X64段选择子即完成了切换。
Windows异步过程调用(APC)
https://github.com/JelinYao
03-01 4393
原文转载自:http://blog.sina.com.cn/s/blog_6c617ee301017nhr.html,感谢原作者。 apc可以看成就是内核里的定时器,为了给自己一个在本函数返回后还能执行的一次机会,有很多操作是需要在函数返回后才能执行. 类似于析构函数但不完全是。 apc的最大特点就是在本函数返回后才执行,而且是在本线程中。 而内核提供的原生的定时器,执行的
APC应用
weixin_34189116的博客
06-29 277
先说两个典型的应用 1. IoCompleteRequest内部实现,实现在任意上下文的时候,插入kernel APC,把IO操作结果返给相应的线程。 2. Set/Get 上下文的内部实现。 User mode APC:在系统进入Alert状态才会Deliver ,可以参考KeWaitXXXX系列函数,KeTestAlertThread可以返回是否Altert状态。 Kernel ...
KeInsertQueueDpc简析
pureman_mega的博客
12-19 1523
本来想把这个函数完整的还原出来,后来写着写着就发现头大,老是转不过弯来。它的反编译代码也不是很长,但是经过编译器处理后感觉还原起来很吃力。特别是一些调转,要将整个流程弄清楚才好写出来,还要注意变量的使用。因为完整的代码写不下出了,这里就对照反编译的代码分析(有兴趣的可以试一试,写完最好能分享一下:)): 原型:BOOLEAN KeInsertQueueDpc( IN PRKDPC Dpc,IN P
wow64
a31602222的博客
11-04 545
WOW64的32位程序其实拥有64位程序的全部功能包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程只是自己以为是32位程序而已就如黑客帝国里面一样,只要你意识到了,就能超越你认为所不能的。RtlGetNativeSystemInformation = _NtWow64G...
4.内核APC执行过程
My classmates
10-24 1777
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用&amp;quot; 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
使用异步过程调用(APC)实现模块注入
Java技术博文
10-22 1095
摘自:windows编程循序渐进              异步过程调用是一种能在特定线程环境中异步执行的系统机制。往线程APC队列添加APC,系统会产生一个软中断。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。        每个线程都拥有自己的APC队列。应用程序可以使用函数把APC添加到指
APC3 PROFIBUS Slave Controller用户手册
"APC3用户手册提供了关于国产Profibus芯片APC3的详细信息,包括其功能、使用方法和操作指南。此手册可供与SPC3英文文档对比参考,适用于了解和配置Profibus协议的从站控制器。" APC3 PROFIBUS Controller是一款专为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值