使用QueueUserAPC线程注入,

最新推荐文章于 2018-12-01 20:16:01 发布
最新推荐文章于 2018-12-01 20:16:01 发布
阅读量139 收藏
点赞数
原文链接:http://www.cnblogs.com/chengxin1982/archive/2010/01/20/1652398.html
版权
ExpandedBlockStart.gif 代码1
#define  _WIN32_WINNT 0x0400
#define  WIN32_LEAN_AND_MEAN    //  从 Windows 头中排除极少使用的资料

#include  < iostream >
#include  < windows.h >
#include  < Winbase.h >
using   namespace  std;


DWORD  WINAPI WorkThread(LPVOID pParam)
{
    HANDLE Event  =  (HANDLE)pParam;
     for (;;)
    {
        DWORD dwRet  =  WaitForSingleObjectEx(Event, INFINITE, TRUE);
         if (dwRet  ==  WAIT_OBJECT_0)
             break ;
         else  
             if (dwRet  ==  WAIT_IO_COMPLETION)
                printf( " WAIT_IO_COMPLETION\n " );
            
             return   0 ;
    }
}


VOID  WINAPI APCProc(LPVOID dwParam)
{
    printf( " %s " , (PVOID)dwParam);
}

 void  TestAPC(BOOL bFast)
{
    
    HANDLE QuitEvent  =  CreateEvent(NULL, FALSE, FALSE, NULL);
    HANDLE hThread  =  CreateThread(NULL,
         0 ,
        WorkThread,
        (LPVOID)QuitEvent,
         0 ,
        NULL);
    
    
    Sleep( 100 );  //  Wait for WorkThread initialized.
    
    
     for ( int  i = 5 ; i > 0 ; i -- )
    {    
        QueueUserAPC((PAPCFUNC)APCProc, hThread, (DWORD)(PVOID) " APC here\n " );
         if ( ! bFast)
            Sleep( 1000 );
    }
    
    
    SetEvent(QuitEvent);
    
    WaitForSingleObject(hThread, INFINITE);
    
    CloseHandle(hThread);    
}

 int  main()
{
    TestAPC( true );
     return   0 ;
}

 

ExpandedBlockStart.gif 代码2
#define  _WIN32_WINNT 0x0400
#define  WIN32_LEAN_AND_MEAN    //  从 Windows 头中排除极少使用的资料

#include  < windows.h >
#include  < Tlhelp32.h >
#include  < stdio.h >
#include  < stdlib.h >

typedef HANDLE (CALLBACK  * OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); 
typedef   unsigned    long       ULONG_PTR; 


typedef  struct  _TIDLIST 
{
    DWORD dwTid ;
    _TIDLIST  * pNext ;
}TIDLIST;

DWORD EnumThread(HANDLE hProcess, TIDLIST  * pThreadIdList)
{
    TIDLIST  * pCurrentTid  =  pThreadIdList ;
    HANDLE hThread;
     const   char  szInjectModName[]  =   " c:\\sysnap.dll "  ;
    DWORD dwLen  =  strlen(szInjectModName) ;
    HMODULE hDll  =  GetModuleHandle( " Kernel32.dll " ); 
    
    PVOID param  =  VirtualAllocEx(hProcess, \
        NULL, dwLen, MEM_COMMIT  |  MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE) ;
    
     if  (param  !=  NULL)
    {
        DWORD dwRet ;
         if  (WriteProcessMemory(hProcess, param, (LPVOID)szInjectModName, dwLen,  & dwRet))
        {
            
             while  (pCurrentTid)
            {
                OPENTHREAD lpfnOpenThread  =  (OPENTHREAD)::GetProcAddress(hDll,  " OpenThread " ); 
                hThread  =  lpfnOpenThread(THREAD_ALL_ACCESS,FALSE,pCurrentTid -> dwTid);
                 if  (hThread  !=  NULL)
                {
                     //
                     //  注入DLL到指定进程
                     //
                     QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
                }
                
                printf( " TID:%d\n " , pCurrentTid -> dwTid) ;
                pCurrentTid  =  pCurrentTid -> pNext ;
            }
        }
    }
     return   0  ;
}

DWORD GetProcID( const   char   * szProcessName)
{
    PROCESSENTRY32 pe32  =  { 0 } ;
    pe32.dwSize  =   sizeof (PROCESSENTRY32);
    
    HANDLE hSnapshot  =  CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,  0 ) ;
    
     if  (hSnapshot  ==  INVALID_HANDLE_VALUE)
    {
         return   0xFFFFFFFF  ;
    }
    
     if  ( ! Process32First(hSnapshot,  & pe32))
    {
         return   0xFFFFFFFF  ;
    }
    
     do  
    {
         if  ( ! _strnicmp(szProcessName, pe32.szExeFile, strlen(szProcessName)))
        {
            printf( " %s的PID是:%d\n " , pe32.szExeFile, pe32.th32ProcessID);
             return  pe32.th32ProcessID ;
        }
    }  while (Process32Next(hSnapshot,  & pe32));
    
     return   0xFFFFFFFF  ;
    
}

TIDLIST *  InsertTid(TIDLIST  * pdwTidListHead, DWORD dwTid)
{
    TIDLIST  * pCurrent  =  NULL ;
    TIDLIST  * pNewMember  =  NULL ;
    
     if  (pdwTidListHead  ==  NULL)
    {
         return  NULL ;
    }
    pCurrent  =  pdwTidListHead ;
    
     while  (pCurrent  !=  NULL)
    {
        
         if  (pCurrent -> pNext  ==  NULL)
        {
             //
             //  定位到链表最后一个元素
             //
             pNewMember  =  (TIDLIST  * )malloc( sizeof (TIDLIST)) ;
            
             if  (pNewMember  !=  NULL)
            {
                pNewMember -> dwTid  =  dwTid ;
                pNewMember -> pNext  =  NULL ;
                pCurrent -> pNext  =  pNewMember ;
                 return  pNewMember ;
            }
             else
            {
                 return  NULL ;
            }
        }
        pCurrent  =  pCurrent -> pNext ;
    }
    
     return  NULL ;
}

 int  EnumThreadID(DWORD dwPID, TIDLIST  * pdwTidList)
{
     int  i  =   0  ;
    
    THREADENTRY32 te32  =  { 0 } ;
    te32.dwSize =   sizeof (THREADENTRY32) ;
    
    HANDLE hSnapshot  =  CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,dwPID) ;
    
     if (hSnapshot  !=  INVALID_HANDLE_VALUE)
    {
         if (Thread32First(hSnapshot, & te32)) 
        {
             do
            {
                 if (te32.th32OwnerProcessID == dwPID) 
                {
                     if  (pdwTidList -> dwTid  ==   0 )
                    {
                        pdwTidList -> dwTid  =  te32.th32ThreadID ;
                    }
                     else
                    {
                         if  (NULL  ==  InsertTid(pdwTidList, te32.th32ThreadID))
                        {
                            printf( " 插入失败!\n " ) ;
                             return   0  ;
                        }
                    }
                    
                } 
            } while (Thread32Next(hSnapshot, & te32));
        }
    }
     return   1  ;
}

 void  RemoveTid(TIDLIST  * pdwTidListHead)
{
    TIDLIST  * pCurrent  =  NULL ;
    TIDLIST  * pNext  =  NULL ;
    
    
     if  (pdwTidListHead  ==  NULL)
    {
         return ;
    }
    pCurrent  =  pdwTidListHead ;
    
     while  (pCurrent  !=  NULL)
    {
        
        pNext  =  pCurrent -> pNext;
        free(pCurrent);
        pCurrent  =  pNext;
    }
    
}
 int  main( int  argc,  char *  argv[])
{
    TIDLIST  * pTidHead  =  (TIDLIST  * )malloc( sizeof (TIDLIST)) ;
    
     if  (pTidHead  ==  NULL)
    {
         return   1  ;
    }

    RtlZeroMemory(pTidHead,  sizeof (TIDLIST)) ;
    
    DWORD dwPID  =   0  ;
    
     if  ((dwPID  =  GetProcID( " explorer.exe " ))  ==   0xFFFFFFFF )
    {
        printf( " 进程ID获取失败!\n " ) ;
         return   1  ;
    }
    
     //
     //  枚举线程ID
     //
     EnumThreadID(dwPID, pTidHead) ;
    
    HANDLE hProcess  =  OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID) ;
    
     if  (hProcess  ==  NULL)
    {
         return   1  ;
    }
    EnumThread(hProcess, pTidHead) ;
    
    CloseHandle(hProcess);
    
    RemoveTid(pTidHead);
    
     return   0 ;
}

 

Alertable IO(告警IO)提供了更有效的异步通知形式。ReadFileEx / WriteFileEx在发出IO请求的同时,提供一个回调函数(APC过程),当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行。
   以下五个函数能够使线程进入告警状态:
   SleepEx
   WaitForSingleObjectEx
   WaitForMultipleObjectsEx
   SignalObjectAndWait
   MsgWaitForMultipleObjectsEx
   线程进入告警状态时,内核将会检查线程的APC队列,如果队列中有APC,将会按FIFO方式依次执行。如果队列为空,线程将会挂起等待事件对象。以后的某个时刻,一旦APC进入队列,线程将会被唤醒执行APC,同时等待函数返回WAIT_IO_COMPLETION。
   QueueUserAPC可以用来人为投递APC,只要目标线程处于告警状态时,APC就能够得到执行。
   使用告警IO的主要缺点是发出IO请求的线程也必须是处理结果的线程,如果一个线程退出时还有未完成的IO请求,那么应用程序将永远丢失IO完成通知。然而以后我们将会看到IO完成端口没有这个限制。
  

转载于:https://www.cnblogs.com/chengxin1982/archive/2010/01/20/1652398.html

weixin_30510153
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
APC注入(QueueUserAPC)--Ring3
KOOKNUT的博客
05-19 1205
APC英文全称(Asynchronous Procedure Call),我们一般译为异步过程调用。它是一种Windows的软中断机制,一般分为两种: 内核APC:由系统产生的APC。 用户APC:由应用层程序产生的APC。 当一个线程从等待状态(线程调用SleepEx、SignalObjectAndWait、WaitForSingleObjectEx、WaitForMultipleObjectsEx等函数是进入可唤醒状态)中苏醒时,线程检查有没有APC需要去执行,如果有APC,则去执行这些异步过程
dll注入Hook
11-08
dll注入,包含:目标进程,目标dll,注入进程,注入dll 详细的解释了如何注入和如何Hook相关dll的函数,截取数据并篡改 最后返回
QueueUserAPC Function
asdfasdfsadf
11-28 1201
  miranda-APC(异步过程调用)分析  APC : asynchronous procdure call 异步过程调用    Alertable IO(告警IO)提供了更有效的异步通知形式。ReadFileEx / WriteFileEx在发出IO请求的同时,    提供一个回调函数(APC过程)
进程注入代码
04-07 955
向一个运行中的进程注入自己的代码,最自然莫过于使用 CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜举,一个木马或后门启动时向 Explorer或IE的注入操作就像在自己脸上写上“我是贼”一样。 用户态代码想要更隐蔽地藏身于别的进程,就应该在注入的环节隐蔽自己的行为。下面就介绍一种非常简单不过比较暴力的方法,给出的示例为
使用QueueUserAPC
mhfh611的专栏
01-10 1697
http://msdn.microsoft.com/zh-cn/library/windows/desktop/ms684954(v=vs.85).aspx Adds a user-mode asynchronous procedure call (APC) object to the APC queue of the specified thread Parameters pfnAPC [
QueueUserAPC
思维空间
06-27 1668
QueueUserAPC   QueueUserAPC   The QueueUserAPCfunction adds a user-mode asynchronous procedure call   QueueUserAPC函数把一个APC对象加入到指定线程APC队列中。   (APC) object to the APC queue of
远程注入 实例源码
12-21
如今远线程注入已经是泛滥成灾,杀毒软件对于远程线程已经做了检查和警示。 此代码对初学者了解远程注入起到学习的作用。 远程注入方式: 使用CreateRemoteThread注入 使用apc QueueUserApc方式
N种内核注入DLL的思路及实现
05-11
介绍了N种关于内核注入DLL的思路及实现,值得一看!
APC.rar_APC_QueueUserAPC _QueueUserAPC 360_ssdt_主动防御
09-24
使用QueueUserAPC技术插入进程代码,可以躲过部分主动防御软件的检测
apc.rar_APC_APC 调用_QueueUserAPC _queueuserapc pudn_空态APC
09-24
用户态APC和核心态APC调用的代码,放在vc中可以直接编译。使用QueueUserAPC等函数
FAQ13: QueueUserAPC的作用和APC的概念
其实我不是代码教父,我只是猪头三
07-18 3738
这个2个东西不是1~2句话可以说得清楚。本人从网上找了4篇文章并阅读审查,觉得很合适初学者去理解。
QueueUserApc实现DLL注入
tikycc2的专栏
08-15 585
http://bbs.pediy.com/showthread.php?t=56071
QueueUserApc实现DLL注入的测试
Lassewang的成长历程
05-03 1400
Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->#include "stdafx.h" #define _WIN32_WINNT 0x0400 #define WIN32_LEAN_AND_MEAN // 从 Windows 头中排除极少使用的资料
Delphi清理释放本程序内存的代码
MouGang的专栏
07-30 2272
zt    http://www.abcxd.com/delphi/abcxddelphi/delphiZY/SetProcessWorkingSetSize.html 明生注:请注意中间那段揭密文章,来按照自己的个人意愿来执行。不要贪一时的快感而影响稳定性 在WinXp,Win2K中应用此方法,不显示主窗体一直运行的程序最佳。以前程序占用11M内存,我用动态创建窗口的方法
QueueUserAPC() 函数来强制线程退出等待状态
zicheng_lin的专栏
07-11 6745
当系统创建一个线程的时候,同时创建一个与线程相关的队列。这个队列被成为异步过程调用(APC)队列。同时我们也知道,windows提供了6个函数可以等待并将线程设置为可提醒状态--------- SleepEx(),WaitForSingleObjectEx(),WaitForM
DLL注入 + VEH 的方式处理异常
yusakul的博客
12-01 2233
从个人年久失修的git博客搬运 test.cpp #include "stdafx.h" #include &lt;process.h&gt; int main() { printf("输入\n"); int a, b; scanf_s("%d", &amp;a); b = 1 / a; printf("%d\n", b); system("pause");
Delphi线程定时器
weixin_30875157的博客
12-29 371
(* 自己编写的线程计时器,没有采用消息机制,很有效 Cobbler续写 不用 TTimer 的原因: 要说TTimer类的使用问题,先要说一下它响应用户定义的回调函数(OnTimer)的方法。 TTimer拥有一个HWnd类型的成员变量FWindowHandle,用于捕捉系统消息。 TTimer在Enable的情况下,每隔Inter...
windows apc注入原理
最新发布
06-11
接下来,攻击者需要在目标进程中的某个线程上调用 QueueUserAPC 函数,并将之前分配的内存空间中的 APC 回调函数作为参数。这样,当目标进程的线程下一次进入 Alertable 状态时,它将执行注入代码中的 APC 回调函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值