APC机制

最新推荐文章于 2024-05-30 09:53:16 发布
最新推荐文章于 2024-05-30 09:53:16 发布
阅读量3k 收藏
点赞数
文章标签: asynchronous 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strongxu/article/details/5266099
版权

    APC(Asynchronous Procedure Call)异步过程调用。NtQueueApcThread()这个系统调用把一个”用户APC请求”挂入目标线程的APC队列。KTHREAD数据结构中APCState指向线程的APC队列(用户APC和内核APC。

    一般来说,只有把APC请求挂入队列,就不再需要触发,而只是等待执行的时机。对于用户APC请求,该时机同样也是目标线程从内核返回用户空间的前夕。对于内核APC则有所不同,每当内核通过KeLowerIrql()降低其运行级别或者进行线程切换时,就会执行当前线程的内核APC。

     APC执行的时机是在系统调用、中断、或异常处理之后从内核返回用户空间的途中,执行过程是在APC_LEVEL上。
    DPC执行的时机是IRQ降到DISPATCH_LEVEL时

strongxu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows的APC机制.pdf
08-27
### Windows的APC机制详解 #### 一、引言 在深入探讨Windows的APC(异步过程调用,Asyncronous Procedure Call)机制之前,我们先简要回顾一下APC的基本概念及其重要性。APC是Windows操作系统内部用于处理异步事件...
APC
SUNE__学无止境
12-19 273
0
探索隐蔽代码注入:NtQueueApcThreadEx NTDLL Gadget Injection
最新发布
gitblog_00027的博客
05-30 336
探索隐蔽代码注入:NtQueueApcThreadEx NTDLL Gadget Injection ntqueueapcthreadex-ntdll-gadget-injectionThis novel way of using NtQueueApcThreadEx by abusing the ApcRoutine and SystemArgument[0-3] parameters by ...
MS10-058 利用代码
oceanark的博客
07-13 452
//链接:https://github.com/JeremyFetiveau/Exploits/blob/master/MS10-058.cpp /* Exploit for MS10-058 Jeremy Fetiveau @__x86 Pool hit tag : 'oooo' */ #include "stdafx.h" using namespace std; #d
暴力注入Explorer的apc方法
07-17 1220
 向一个运行中的进程注入自己的代码,最自然莫过于使用CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜举,一个木马或后门启动时向Explorer或IE的注入操作就像在自己脸上写上“我是贼”一样。用户态代码想要更隐蔽地藏身于别的进程,就应该在注入的环节隐蔽自己的行为。下面就介绍一种非常简单不过比较暴力的方法,给出的示例为在E
关于NT内核的apc机制
06-30 1547
Asynchronous Procedure Calls (APCs) are a fundamental building block in NTs asynchronous processing architecture. An understanding of this mechanism is essential to better understand how NT works
Apc.rar_APC_windows APC
09-23
通过阅读《Apc.pdf》文档,开发者将能深入理解APC的工作原理,掌握如何在Windows程序中有效地利用APC机制来提高程序的并发性和响应性。这不仅适用于系统程序员,也对任何希望优化Windows应用程序性能的开发人员具有...
Apc_ifsddk_APC_OSR_
09-29
IFSDDK(Interrupt Fast File System Development Kit)是用于在DPC(Deferred ...通过仔细阅读这份文档,开发者可以学习到如何利用IFSDDK来创建高性能、低延迟的内核模式文件系统,同时充分利用DPC和APC机制
apc_inject.rar_APC_APC inject_inject
09-24
综上所述,APC注入是一种高级的攻击技术,通过巧妙地利用Windows操作系统的APC机制,攻击者能够在用户模式进程中执行恶意的shellcode,甚至达到Ring 0的权限。理解这种技术的原理和防御措施对于系统安全至关重要。...
ShellCode注入程序
jmm18363027827的博客
12-15 349
程序功能是利用NtQueueApcThreadEx注入ShellCode到一个进程中,程序运行后会让你选择模式,按1为普通模式,所需的常规API接口都是使用Windows原本正常的API;在有游戏保护的进程中Windows原本正常的API无法使用,这时候需要选择内核模式,按2选择内核模式。内核模式下使用的一些关键API都是我自己在ring0从0实现的,本帖仅开源普通模式下的代码。shellCode的功能是给被注入进程设置一个键盘钩子,TAB键。项目包含三个源代码文件:1.源.cpp。
关于APC机制
sxr__nc的博客
03-12 1135
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《Windows的APC机制》受益匪浅,总结一点自己关于APC的思路: 之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件
dll注入&代码注入
weixin_45880501的博客
09-17 1652
dll注入&代码注入 CreateRemoteThread 思路:在目标进程中申请一块内存并向其中写DLL路径,然后调用 CreateRemoteThread ,**(在自己进程中 创建远程线程到到目标进程)在目标进程中创建一个线程。**LoadLibrary()”函数作为线程的启动函数,来加载待注入的DLL文件 ,LoadLibrary()参数 就是存放DLL路径的内存指针. 这时需要目标进程的4个权限(PROCESS_CREATE_THREAD,PROCESS_QUERY_INFORMATION
探索QueueUserApc(1)
weixin_34025151的博客
06-14 396
声明:这里只看重要的调用信息和为什么这样做,其他的就不看了 APC(Asynchronous procedure call)异步程序调用,在NT中,有两种类型的APCs:用户模式和内核模式。 用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可...
IRQL中断请求级别及APC_LEVEL讨论
二月麦苗的专栏
07-16 5955
什么是IRQL? IRQL是Interrupt ReQuest Level,中断请求级别。处理器在一个IRQL上执行线程代码。IRQL是帮助决定线程如何被中断的。在同一处理器上,线程只能被更高级别IRQL的线程能中断。每个处理器都有自己的中断IRQL。 我们经常遇见的有四种IRQL级别。“Passive”, “APC”, “Dispatch” and “DIRQL”. “DriverEnt
先进过程控制之一:浅说APC
热门推荐
木南创智
02-23 2万+
先进过程控制(APC)技术作为在生产装置级的信息化应用,在优化装置的控制水平和提高生产过程的管理水平的同时,还为企业创造了可观的经济效益。 1、什么是APC 先进过程控制,简称APC,并不是什么新概念。它仅仅只是一大类区别于经典控制的控制方法的统称,包含的内容非常丰富。从广泛的概念上来讲,能够获得比经典PID控制更好的控制效果的控制策略都可以称之为先进控制技术。 一般来讲,我们通常所说的AP...
APC注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 633
/*********************************** desc : This code was written for inject a dll named text.dll to the target process based on APC. time : 2013 coder: ejoywx **********************
漫谈兼容内核之十二:Windows的APC机制
周寅的专栏
03-13 3081
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机
转载:关于DPC和APC
zhiquan的专栏
06-03 5543
当驱动程序处理IRP的时候,它可能立刻完成,也可能在中断里才能完成,比如说,往硬件设备发出一个请求(通常可以是写I/O port),当设备完成操作的时候会触发一个中断,然后在中断处理函数里得到操作结果。Windows有两类中断,硬件设备的中断和软中断,分成若干个不 同的优先级(IRQL)。软中断主要有两种:DPC(Delayed Procedure Call)和APC(Asyn
Windows DPC详解
申小白
09-20 7799
x86架构设计在上是基于中断思想的,因而从DOS到Win32,操作系统中大量使用中断的概念来表达异步操作的行为。但与DOS下独占的情况不同,Win32下需要由系统对多任务进行调度,因此中断响应代码必须尽可能地简单,并且尽快的将控制权交还给系统。虽然这样一来系统调度的响应速度和实现过程方便了,但还是有很多功能需要在中断响应中完成。为此,Win32核心提供了DPC(Deferred Procedure...
Windows APC原理
06-11
Windows APCAsynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 I/O、线程池等。 在 Windows 中,每个线程都有一个 APC 队列,该队列中存储了需要在该线程上异步执行的函数。当一个线程进入 Alertable 状态时(例如调用 Sleep、WaitForSingleObject 等函数),它会检查自己的 APC 队列中是否有待处理的 APC,如果有,则会立即执行 APC 中指定的函数。 APC 机制的具体原理如下: 1. 创建 APC 对象 首先,创建一个 APC 对象,该对象包含要在目标线程上执行的函数和参数。 2. 将 APC 对象插入到目标线程的 APC 队列 使用 QueueUserAPC 函数将 APC 对象插入到目标线程的 APC 队列中。当目标线程进入 Alertable 状态时,它会检查自己的 APC 队列中是否有待处理的 APC,如果有,则会立即执行 APC 中指定的函数。 3. 触发目标线程进入 Alertable 状态 为了让目标线程进入 Alertable 状态,可以使用 Sleep、WaitForSingleObject 等函数来实现。当目标线程进入 Alertable 状态时,它会检查自己的 APC 队列中是否有待处理的 APC,如果有,则会立即执行 APC 中指定的函数。 总之,APC 机制是 Windows 操作系统中非常重要的一部分,它提供了一种有效的异步过程调用机制,可以在不阻塞目标线程的情况下异步执行指定的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值