内核中通过给线程插apc注入dll

最新推荐文章于 2024-07-10 01:01:34 发布
最新推荐文章于 2024-07-10 01:01:34 发布
阅读量7.8k 收藏 6
点赞数 
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2);
void ApcLoadDllEnd();
PMDL pMdl = NULL;
void ApcKernelRoutine( IN struct _KAPC *Apc, 
					  IN OUT PKNORMAL_ROUTINE *NormalRoutine, 
					  IN OUT PVOID *NormalContext, 
					  IN OUT PVOID *SystemArgument1, 
					  IN OUT PVOID *SystemArgument2 ) 
{
	if (Apc)
		ExFreePool(Apc);
	if(pMdl)
	{
		MmUnlockPages(pMdl);
		IoFreeMdl (pMdl);
		pMdl = NULL;
	}
	DbgPrint("ApcKernelRoutine called. Memory freed.");
}
VOID AddApcIngectDll(LPSTR DllFullPath, PETHREAD Thread,ULONG pTargetProcess,void *LoadLibraryWAddr)
{
	PRKAPC pApc = NULL; 
	PVOID pMappedAddress = NULL; 
	ULONG dwSize = 0;
	KAPC_STATE ApcState; 
	int *p=NULL;

	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	if ( MmIsAddressValid((PVOID)Thread) == TRUE)
	{
		pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
		if (!pApc)
		{
			DbgPrint("Failed to allocate memory for the APC structure");
			return ;
		}
		dwSize = 386;//这个长度是我们写的大片的nop
		pMdl = IoAllocateMdl (ApcLoadDll, dwSize, FALSE,FALSE,NULL);
		if (!pMdl)
		{
			DbgPrint(" Failed to allocate MDL");
			ExFreePool (pApc);
			return STATUS_INSUFFICIENT_RESOURCES;
		}
		__try
		{
			MmProbeAndLockPages (pMdl,KernelMode,IoWriteAccess);
		}
		__except (EXCEPTION_EXECUTE_HANDLER)
		{
			DbgPrint("Exception during MmProbeAndLockPages");
			IoFreeMdl (pMdl);
			ExFreePool (pApc);
			return STATUS_UNSUCCESSFUL;
		}
		KeStackAttachProcess((ULONG *)pTargetProcess,&ApcState);//进入目标进程的上下文
		pMappedAddress = MmMapLockedPagesSpecifyCache (pMdl,UserMode,MmCached,NULL,FALSE,NormalPagePriority);//把分配好的内存映射进目标进程里面
		if (!pMappedAddress)
		{
			DbgPrint("Cannot map address");
			KeUnstackDetachProcess (&ApcState);
			IoFreeMdl (pMdl);
			ExFreePool (pApc);
			return STATUS_UNSUCCESSFUL;
		}
		else 
			DbgPrint("UserMode memory at address: 0x%p",pMappedAddress);
		wcscpy ((unsigned char*)pMappedAddress + 0x16, DllFullPath);//将dll路径拷贝到目标进程空间
		p=(int*)((unsigned char*)pMappedAddress+6);
		*p=(int)((unsigned char*)pMappedAddress + 0x16);
		p=(int*)((unsigned char*)pMappedAddress+1);
		*p=LoadLibraryWAddr;
		KeUnstackDetachProcess (&ApcState); //恢复咱原来的上下文
		//初始化APC,插APC
		KeInitializeApc(pApc,
			(PETHREAD)Thread,
			OriginalApcEnvironment,
			&ApcKernelRoutine,
			NULL,
			(PKNORMAL_ROUTINE)pMappedAddress,
			UserMode,
			(PVOID) NULL);
		if (!KeInsertQueueApc(pApc,0,NULL,0))
		{
			DbgPrint("KernelExec -> Failed to insert APC");
			MmUnlockPages(pMdl);
			IoFreeMdl (pMdl);
			ExFreePool (pApc);
			return STATUS_UNSUCCESSFUL;
		}
		else
		{
			DbgPrint("APC delivered");
		}
		//使线程处于警告状态,注意不同操作系统的ETHREAD
		if(!*(char *)((char *)Thread+0x4a))
		{
			*(char *)((char *)Thread+0x4a) = TRUE;
		}
	}
}

//枚举指定进程的线程
NTSTATUS IngectDll(PEPROCESS Process,LPSTR DllFullPath,void *LoadLibraryWAddr)
{
	ULONG i;
	PETHREAD txtd;
	PEPROCESS txps;
	NTSTATUS st = STATUS_UNSUCCESSFUL;
	for (i=8;i<=65536;i=i+4)
	{
		st = PsLookupThreadByThreadId(i,&txtd);
		if ( NT_SUCCESS(st) )
		{
			txps=IoThreadToProcess(txtd); 
			if ( txps == Process )    
			{
				AddApcIngectDll(DllFullPath, txtd,Process,LoadLibraryWAddr);
				return STATUS_SUCCESS;      //只需要枚举一个线程就够了。因为我们注入dll只需要调用一次

			}
		}
	}
	return STATUS_SUCCESS;
}
__declspec(naked) void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2)
{
	__asm 
	{       
		mov eax,0xabcdef //LoadLibraryW的地址这是是需要复制到目标进程空间之后再赋值的
			push 0xabcdef //这是是需要复制到目标进程空间之后再赋值的
			call eax
			jmp end
			nop //分配内存
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
			nop
end:
		ret 0x0c
	}
}


sgzwiz
关注
一、C++反作弊对抗实战 (基础篇 —— 3.利用APC注入DLL)
Koma的主页
03-02 688
APC(Asynchronous Procedure Call),简称“异步过程调用”,是在一个特定线程环境下被异步执行的函数,分为用户模式(user mode)和内核模式(kernel mode)。
易语言防游戏检测APC注入DLL技术
weixin_hhdebug的博客
05-28 2469
APC注入是什么原理? 首先我们得来了解下它是什么东西,才能更好的运用它,对于APC对于懂微软api函数使用的学员来说可能不陌生,新手估计没有接触过。 APC 注入的原理是利用当线程被唤醒时APC的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的, 其具体的步骤如下: 1.当EXE里某个线程执行到SleepEx() 或者 WaitForSingleObjectEx() 时,系统就会产生一个软断(或者是Messagebox弹窗的时候不点OK的时候也能注入)。 2.当线程
acl在内核里的位置_Windows 注入篇 之 内核 APC 注入
weixin_39586335的博客
12-18 328
一、Windows 下进程创建过程概述: 1. 应用层通过CreateProcess发起进程创建,然后进入系统调用。 2. 系统调用通过 NtCreateProcess,创建进程的各种资源(内存空间,句柄表,Peb,设备描述表等),此时,进程还只是一个空壳,所以必须为自己创建一个线程(即我们通常说的主线程)。 3. 主线程由KeInitThread函数进行初始化。并有内核调度,启动点是PspUs...
APC注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 634
/*********************************** desc : This code was written for inject a dll named text.dll to the target process based on APC. time : 2013 coder: ejoywx **********************
免杀笔记 ---> APC注入
最新发布
huohaowen的博客
07-10 730
除了我们前面讲的DLL注入,还有一个APC注入的东西也是很重要的!!::确实很重要,相应的,在跟新完今天的代码之后,我也会对应的进行Github上工具的更新!!
DLL注入技术之APC注入
潜心学习
06-28 2499
DLL注入技术之APC注入     APC注入的原理是利用当线程被唤醒时APC的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软断。     2)当线程再次被唤醒时,此线程会首先执行APC队列的被注册的函
APC_dll注入
qq_36918532的博客
03-03 484
主要是以下五步 //注入器 //1.要注入到进程首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
使用异步过程调用(APC实现模块注入
huobengle
09-03 186
摘自:windows编程循序渐进 异步过程调用是一种能在特定线程环境异步执行的系统机制。往线程APC队列添加APC,系统会产生一个软断。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。 每个线程都拥有自己的APC队列。应用程序可以使用函数把APC添加到指定线程APC队列,函数...
编程实现APC注入dll到进程
yeanhoo的博客
09-23 370
APC注入 线程被唤醒时APC的注册函数会被执行,因此使用QueueUserAPCAPC队列入函数即可完成注入 #include <stdio.h> #include <windows.h> #include <Tlhelp32.h> BOOL ApcInject(char *,char *); DWORD GetProcessIdByProcessName(char *); BOOL GetAllThreadIdByProcessId(DWORD,PDWORD,P
APC注入DLL内核
12-13
APC(Asynchronous Procedure Call)注入DLL内核层是一种高级的系统编程技术,主要用于在内核模式下实现进程间通信、系统监控或恶意软件的行为。这种方法涉及到Windows操作系统的内核编程,通常需要深入理解...
Kinject-x64:Kinject - 内核 dll 注入器,目前提供 x86 版本,即将更新到 x64
06-13
Kinject - 内核 dll 注入器,目前在 x86 版本可用,很快将更新到 x64。 在这里你可能只找到驱动程序,应用程序本身将在我完成 x64 版本后发布。 驱动程序的基本结构: 找到一个线程来劫持。 打开目标进程。 ...
Kernel_Inject:内核注入DLL
02-15
别问问就是F7 修仙交流(限定筑基期至渡劫期):546110133
APC注入实现代码
07-30
在IT领域,特别是系统编程和安全研究,"APC注入实现代码"是一个涉及操作系统内核和用户模式之间交互的重要技术。"Ring0 + Ring3"标签进一步强调了这一技术在不同权限级别的运用。让我们深入探讨这个主题。 首先,...
DLL注入APC注入
GeniusLS的博客
08-13 882
本人学习《Windows编程技术》所做的学习笔记 简介:APC为异步调用,指函数在特定线程被异步执行,在操作系统APC是一种并发机制,用于异步IO,或者定时器。 大致思路:每一个进程都有一个APC队列,每当要执行一个函数时,就利用QueueUserAPC函数把一个APC函数压入队列,当函数要被执行时,我们将函数以先进先出的形式执行函数,此时我们便可以把我们要注入dll给放入队列 同步调用:像普通程序一样,需要按序进行,下一条代码必须要等上一条代码执行后,才能运行。 异步调用:...
DLL注入-APC注入
r250414958的博客
11-14 1109
APC注入 APC注入的原理是利用当线程被唤醒时APC的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下: 1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软断(或者是Messagebox弹窗的时候不点OK的时候也能注入)。 2)当线程再次被唤醒时,此线程会首先执行APC队列...
windows内核学习之APC队列得入过程
windows小菜鸡的博客
11-30 226
N种内核注入DLL策略与实现规避
接着,作者提出了利用Kernel32.dll的漏洞进行内核patch的方法。系统加载时,Kernel32.dll会预先映射到进程空间,避免重复加载。作者通过ZwOpenSection和ZwMapViewOfSection函数获取Kernel32.dll的内存映射,然后在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值