关于APC

最新推荐文章于 2021-09-08 14:55:33 发布
最新推荐文章于 2021-09-08 14:55:33 发布
阅读量670 收藏
点赞数
文章标签: dll null thread 
APC,异步过程调用。
APC是线程相关的,每个线程都有自己独自的APC链表,因此可以让一段代码在指定的线程上下文中运行。系统中有两种APC,用户层和内核层APC.
 
应用:
APC被知道的最多的应用应该是对一些异步操作的支持,如ReadFile的异步方式等。以ReadFile为例,文件系统发现这是一个异步调用,就会标记为Pending,然后立刻返回。等读取操作完成的时候,在将结果拷贝到用户层的内存空间和调用用户层提供的完成函数时,就用到APC。

另外,挂钩APC相关函数可以达到阻止结束目标进程(ZwTerminateProcess)、阻止创建远程线程(CreateRemoteThread)、阻止对其调用GetContext SetContext等。(但直接读写进程空间或者Attach操作是阻止不了的)。

总结:
如果说其它进程或者线程间通信的方式(比如共享一个对象、一块映射内存、甚至套接字等等)是两个国家间的以合作的方式交流:我需要你的什么信息或者要送给你什么,要得到你的同意才行,那么APC就像是间谍:我安插在你选干部的队伍里(插入APC),等你请我去当你的干部。哪一天我当上了(交付),我就可以做我自己想做的事了,我同国外的沟通不用得到同意(目标进程里的代码可能完全不知道我的存在)。
 
下面的是在用户层插入APC的代码
DWORD GetNtDllString(HANDLE dllbase)
{
        char* lpbuf = (char*)dllbase;
        while(stricmp(++lpbuf, ".dll") && lpbuf - (char*)dllbase < 65535);

        printf("%s", lpbuf - 5);

        return lpbuf - (char*)dllbase;
}


int main(int argc, char* argv[])
{
        HINSTANCE ntdll_dll = GetModuleHandle("ntdll.dll");
        NTQUERYSYSTEMINFORMATION ZwQuerySystemInformation;
        PSYSTEM_PROCESSES pSp=NULL;
        ULONG retureSize = 0;
        DWORD status;
        unsigned char *buf;
        char * dll_name = (char*)ntdll_dll + GetNtDllString(ntdll_dll) - 3;

        printf("CurrentThreadId %d\ninject dll name:%s\n", 
                GetCurrentThreadId(), dll_name);

        ZwQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress(ntdll_dll, "ZwQuerySystemInformation");
        status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, NULL, 0, &retureSize);
        if (status != STATUS_INFO_LENGTH_MISMATCH)
                return -1;
        
        buf = malloc(retureSize);
        if (buf ==NULL)
                return -1; 
        
        status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, (PVOID)buf, retureSize, NULL);
        if (status != STATUS_SUCCESS) 
                return -1;

        pSp = (PSYSTEM_PROCESSES)buf;
        
        do {
                pSp = (PSYSTEM_PROCESSES)( (unsigned long)pSp + pSp->NextEntryDelta );
                
                if (pSp->ProcessName.Buffer
                        && _wcsicmp(pSp->ProcessName.Buffer, L"lsass.exe") == 0){
                        ULONG i;
                        
                        for (i =0; i<pSp->ThreadCount; i++) {
                                HANDLE pthread;
                                pthread = OpenThread(THREAD_SET_CONTEXT, FALSE, (DWORD)pSp->Threads[i].ClientId.UniqueThread);
                                printf("进程 %d 线程:%d\r\n", 
                                        pSp->Threads[i].ClientId.UniqueProcess,
                                        pSp->Threads[i].ClientId.UniqueThread);
                                
                                if (!QueueUserAPC((PAPCFUNC)LoadLibraryA, pthread, (ULONG_PTR)dll_name))
                                        printf("QueueUserAPC error\n");

                                CloseHandle(pthread);
                        }
                        break;
                }
        } while ( pSp->NextEntryDelta != 0 );
        
        free(buf);

        while (!kbhit())
                SleepEx(100, TRUE);

        return 0;
}


 

tian_wen
关注
关于APC的介绍文档
08-26
### 关于APC的介绍知识点 #### 一、引言 先进过程控制技术(APC,Advance Process Control)是一项在半导体制造行业中广泛应用的技术,旨在通过优化生产过程来提高产品的良率和生产能力。随着半导体器件尺寸的不断...
先进过程控制之一:浅说APC
热门推荐
木南创智
02-23 2万+
先进过程控制(APC)技术作为在生产装置级的信息化应用,在优化装置的控制水平和提高生产过程的管理水平的同时,还为企业创造了可观的经济效益。 1、什么是APC 先进过程控制,简称APC,并不是什么新概念。它仅仅只是一大类区别于经典控制的控制方法的统称,包含的内容非常丰富。从广泛的概念上来讲,能够获得比经典PID控制更好的控制效果的控制策略都可以称之为先进控制技术。 一般来讲,我们通常所说的AP...
AGE-PERIOD-COHORT (APC) 连续变量和二分类变量分析全代码
环湖数据科学知识共享平台
09-08 3649
APC它的算法原理首先需要明白的是这种算法是针对时间这个维度进行了精雕细琢,它把时间维度进行了针对性的分解,分解为年龄效应,时期效应和队列效应。APC 分析的目的就是解开年龄、时期和队列的独立影响。这里分别给大家解释一下这三个分解效应: 年龄效应:年龄效应是与特定于个人的衰老的生物学和社会过程相关的变化。它们包括与衰老相关的生理变化和社会经验的积累,但与个人所属的时期或所属队列无关。 时期效应:时期效应是外部因素在特定日历时间同等影响所有年龄组的结果。它可能源于一系列环境、社会和经济因素,例如战争、饥荒
插入APC读写内存
liuhaidon1992的博客
01-08 774
#include "ntddk.h" #include "a_header.h" NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process); NTKERNELAPI VOID NTAPI KeStackAttachProcess(PEPROCESS Process, PKAPC_...
【Windows原理】异步IO-_APC(异步过程调用)
Sven的忘却日记
06-10 824
// 同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中 // 阻塞住. // 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住 // 但是异步IO要完成这样的特性是有一点付出的 // 异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. // 这里讲的是第三个方式, 通过设置IO完成函数来处理已完成的IO任...
APC驱动读写
CalvinXu
03-05 1159
//插APC温柔读内存 BOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata) { PEPROCESS pepro; KAPC_STATE kapc = { 0 }; pepro = LookupProcess((HANDLE)PID); if (pepro == ...
apc_inject.rar_APC_APC inject_inject
09-23
标题 "apc_inject.rar_APC_APC inject_inject" 提到的是一个关于APC(Asynchronous Procedure Call)注入技术的文件包。APC注入通常指的是在用户模式进程中注入shellcode,通过Ring 0级别的权限执行,这涉及到操作...
使用APC在化工行业实现卓越运营.PDF
01-05
先进过程控制自80年代初期到中期问世,最初主要应用于炼油厂和石油化工厂。APC是一种过程控制和优化技术,它考虑了过程单元的多变量相互作用的特性,以减少可变性,并且推动过程每...以下是关于APC任何带来效益的汇总。
APC320.zip APC320模块的资料 包括模块配置的软件 透传模块的配置数据手册和详细介绍
07-15
本压缩包文件提供了关于APC320模块的全面资料,包括配置软件、配置数据手册以及详细的介绍,帮助用户更好地理解和使用该模块。 首先,"APC320模块配置的软件"是用于设置和管理模块的关键工具。这个软件可能包含了...
PHP缓存之APC-简介、存储结构和操作
weixin_34345560的博客
06-09 182
APC简介 APC,全称是Alternative PHP Cache,官方翻译叫”可选PHP缓存”。它为我们提供了缓存和优化PHP的中间代码的框架。 APC的缓存分两部分:系统缓存和用户数据缓存。 系统缓存 它是指APC把PHP文件源码的编译结果缓存起来,然后在每次调用时先对比时间标记。如果未过期,则使用缓存的中间代码运行。默认缓存 3600s(一小时)。但是这样仍会浪费大量CPU时间。因...
x64内存读写驱动
03-27
可过tp读写大部分tp游戏
目标跟踪算法KCF加入APCE评价标准的matlab源代码
03-24
KCF中加入LMCF中的APCE遮挡评价标准,能一定程度上应对遮挡问题。里面的两个参数可以自己调试。
APC机制详解
鬼手的博客
02-15 7260
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
谈谈对APC的一点理解
乐朝夕与之共
07-10 2777
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
深入学习APC
求索
05-12 2442
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
Windows APC机制(一)
井底之蛙
06-23 1万+
      异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理器,它已经结束处理一个异步I/
DLL注入技术之APC注入
潜心学习
06-28 2502
DLL注入技术之APC注入     APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断。     2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函
小Win,点一份APCApc机制详解)(一)
anhkgg的专栏
05-06 4153
翻开 翻开小Win的菜单,APC赫然在目... 做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝! 吃了可以做很多事情... APC注入APC注入APC注入... 细节来自于ReactOS源码分析。 如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了 来一份APC ring3这么做的 点APC的正确姿势是使用QueueUs
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值