注入 - Ring3 APC注入

最新推荐文章于 2020-05-19 15:08:01 发布
最新推荐文章于 2020-05-19 15:08:01 发布
阅读量110 收藏
点赞数
原文链接:http://www.cnblogs.com/1228073191Blog/p/7401153.html
版权 
系统产生一个软中断,当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数,利用QueueUserAPC()这个API,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,

1.根据进程名称得进程ID
2.枚举该进程中的线程
3.将自己的函数插入到每个线程的APC队列中





  1 // APCInject(Ring3).cpp : 定义控制台应用程序的入口点。
  2 //
  3 
  4 #include "stdafx.h"
  5 #include <windows.h>
  6 #include <TlHelp32.h>
  7 #include <ntstatus.h>
  8 #include <vector>
  9 #include <iostream>
 10 
 11 using namespace std;
 12 /*
 13 Win7下成功 Win10不一定成功(编译对应的位数,管理员身份运行) 
 14 Win7要将倒着插入!!
 15 要将DLL拷到.cpp的文件夹中
 16 尽量选择线程多的exe 
 17 
 18 另外没有提供删除APC队列中函数的方法,所以不能反复注入。
 19 */
 20 
 21 
 22 WCHAR    __DllFullPath[MAX_PATH] = { 0 };  
 23 PVOID    __DllFullPathBufferData = NULL;
 24 UINT_PTR __LoadLibraryWAddress = 0;
 25 
 26 
 27 //typedef void(*pfnSub_110)();
 28 
 29 
 30 BOOL GetProcessIDByProcessImageName(IN PWCHAR ProcessImageName, OUT PUINT32 ProcessID);
 31 BOOL GetThreadIDByProcessID(IN UINT32 ProcessID, OUT vector<UINT32>& ThreadIDVector);
 32 BOOL InjectDllByApc(IN UINT32 ProcessID, OUT UINT32 ThreadID);
 33 BOOL DebugPrivilege(WCHAR * DebugName, BOOL bEnable);
 34 
 35 int main()
 36 {
 37     if (DebugPrivilege(SE_DEBUG_NAME, TRUE)==FALSE)
 38     {
 39         printf("DebugPrivilege Error\r\n");
 40     }
 41 
 42     GetCurrentDirectory(MAX_PATH, __DllFullPath);
 43 
 44     wcscat(__DllFullPath, L"\\Dll.dll");
 45 
 46     
 47     UINT ProcessID = 0;
 48 
 49     if (GetProcessIDByProcessImageName(
 50         L"taskmgr.exe", &ProcessID) == FALSE)
 51     {
 52         
 53         
 54         return 0;
 55     }
 56 
 57     vector<UINT32> ThreadIDVector;
 58 
 59     if (GetThreadIDByProcessID(ProcessID, ThreadIDVector) == FALSE)
 60     {
 61         return 0;
 62     }
 63 
 64     size_t ThreadCount = ThreadIDVector.size();
 65     //每一个线程
 66     /*
 67     win7下得倒着注入
 68     */
 69     for (INT_PTR i = ThreadCount - 1; i >= 0; i--)
 70     {
 71         UINT32 ThreadID = ThreadIDVector[i];
 72         InjectDllByApc(ProcessID, ThreadID);
 73     }
 74 
 75 
 76     printf("Input Any Key to Exit\r\n");
 77     getchar();
 78     getchar();
 79 
 80     return 0;
 81 }
 82 
 83 
 84 BOOL InjectDllByApc(IN UINT32 ProcessID, OUT UINT32 ThreadID)
 85 {
 86     HANDLE  ThreadHandle = NULL;
 87     HANDLE    ProcessHandle = OpenProcess(
 88         PROCESS_ALL_ACCESS, FALSE, ProcessID);
 89 
 90     SIZE_T  DllFullPathLength = ((wcslen(__DllFullPath) + 1));
 91 
 92     SIZE_T        ReturnLength = 0;
 93     BOOL        IsOk = FALSE;
 94 
 95     // 申请一次内存
 96     if (__DllFullPathBufferData == NULL)
 97     {
 98         __DllFullPathBufferData =
 99             VirtualAllocEx(
100                 ProcessHandle,
101                 NULL,
102                 DllFullPathLength * 2,
103                 MEM_COMMIT | MEM_RESERVE,
104                 PAGE_EXECUTE_READWRITE
105             );
106 
107         if (__DllFullPathBufferData == NULL)
108         {
109             CloseHandle(ProcessHandle);
110             ProcessHandle = NULL;
111             return FALSE;
112         }
113 
114         IsOk = WriteProcessMemory(
115             ProcessHandle,
116             __DllFullPathBufferData,
117             __DllFullPath,
118             DllFullPathLength * 2,
119             &ReturnLength
120         );
121 
122         if (IsOk == FALSE)
123         {
124 
125             VirtualFree(__DllFullPathBufferData,
126                 DllFullPathLength * 2, MEM_RELEASE);
127 
128             CloseHandle(ProcessHandle);
129             ProcessHandle = NULL;
130             return FALSE;
131         }
132     }
133 
134     __LoadLibraryWAddress = 
135         (UINT_PTR)GetProcAddress(
136             GetModuleHandle(L"Kernel32.dll"), 
137             "LoadLibraryW"
138         );
139 
140     if (__LoadLibraryWAddress == NULL)
141     {
142         VirtualFree(
143             __DllFullPathBufferData, 
144             DllFullPathLength * 2, MEM_RELEASE);
145         CloseHandle(ProcessHandle);
146         ProcessHandle = NULL;
147         return FALSE;
148     }
149 
150     __try
151     {
152         ThreadHandle = OpenThread(THREAD_ALL_ACCESS, FALSE, ThreadID);
153         DWORD v1 = QueueUserAPC(
154             (PAPCFUNC)__LoadLibraryWAddress, 
155             ThreadHandle, 
156             (UINT_PTR)__DllFullPathBufferData
157         );   //LoadLibraryWAddress("DllFullPathBufferData")
158         if (v1 == 0)
159         {
160             printf("FAIL %d\r\n", GetLastError());
161         }
162         else if (v1 != 0)
163         {
164             printf("Success\r\n");
165         }
166     }
167 
168     __except (EXCEPTION_CONTINUE_EXECUTION)
169     {
170 
171     }
172 
173     CloseHandle(ProcessHandle);
174     CloseHandle(ThreadHandle);
175 
176 
177 
178 
179     return TRUE;
180 }
181 
182 
183 BOOL GetThreadIDByProcessID(IN UINT32 ProcessID, OUT vector<UINT32>& ThreadIDVector)
184 {
185     HANDLE            ThreadSnapshotHandle = NULL;
186     THREADENTRY32    ThreadEntry32 = { 0 };
187 
188     ThreadEntry32.dwSize = sizeof(THREADENTRY32);
189     
190     ThreadSnapshotHandle = CreateToolhelp32Snapshot(
191         TH32CS_SNAPTHREAD, 0);
192     if (ThreadSnapshotHandle == INVALID_HANDLE_VALUE)
193     {
194         return FALSE;
195     }
196 
197     BOOL IsOk = Thread32First(
198         ThreadSnapshotHandle, &ThreadEntry32);
199     
200     if (IsOk)
201     {
202         do
203         {
204             if (
205                 ThreadEntry32.th32OwnerProcessID 
206                 == ProcessID)
207             {
208                 ThreadIDVector.emplace_back(
209                     ThreadEntry32.th32ThreadID);        // 把该进程的所有线程id压入模板
210             }
211         } while (Thread32Next(
212             ThreadSnapshotHandle, &ThreadEntry32)
213             );
214 
215     }
216 
217 
218 
219 
220 
221     CloseHandle(ThreadSnapshotHandle);
222     ThreadSnapshotHandle = NULL;
223     
224 
225     return TRUE;
226 }
227 
228 BOOL GetProcessIDByProcessImageName(IN PWCHAR ProcessImageName, OUT PUINT32 ProcessID)
229 {
230     HANDLE ProcessSnapshotHandle = NULL;
231     ProcessSnapshotHandle =
232         CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
233 
234     if (ProcessSnapshotHandle == INVALID_HANDLE_VALUE)
235     {
236         return FALSE;
237     }
238 
239     PROCESSENTRY32 ProcessEntry32 = { 0 };
240     ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
241 
242     BOOL IsOk = Process32First(
243         ProcessSnapshotHandle,
244         &ProcessEntry32
245     );
246 
247     if (IsOk)
248     {
249         do 
250         {
251             if (
252                 lstrcmpi(ProcessEntry32.szExeFile,
253                     ProcessImageName)==0
254                 )
255             {
256                 *ProcessID = ProcessEntry32.th32ProcessID;
257                 break;
258             }
259         } while (Process32Next(
260             ProcessSnapshotHandle,
261             &ProcessEntry32
262         )
263             );
264     }
265 
266     if (*ProcessID==0)
267     {
268         printf("Get ProcessID FAIL! 请打开任务管理器.\r\n");
269         return FALSE;
270     }
271 
272     CloseHandle(ProcessSnapshotHandle);
273     ProcessSnapshotHandle = NULL;
274 
275     
276 
277     return TRUE;
278 }
279 
280 
281 
282 
283 
284 
285 
286 
287 BOOL DebugPrivilege(WCHAR * DebugName, BOOL bEnable)
288 {
289     BOOL              bRet = TRUE;
290     HANDLE            TokenHandle;
291     TOKEN_PRIVILEGES  TokenPrivileges;
292 
293     //进程 Token 令牌
294     if (!OpenProcessToken(GetCurrentProcess(),
295         TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES, &TokenHandle))
296     {
297         bRet = FALSE;
298         return bRet;
299     }
300     TokenPrivileges.PrivilegeCount = 1;
301     TokenPrivileges.Privileges[0].Attributes = bEnable ? SE_PRIVILEGE_ENABLED : 0;
302 
303     LookupPrivilegeValue(NULL, DebugName, &TokenPrivileges.Privileges[0].Luid);
304     AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
305     if (GetLastError() != ERROR_SUCCESS)
306     {
307         bRet = FALSE;
308     }
309 
310     CloseHandle(TokenHandle);
311     return bRet;
312 
313 }

 

转载于:https://www.cnblogs.com/1228073191Blog/p/7401153.html

weixin_33857230
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x64 Ring3_Dll注入-易语言
06-12
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,...
Windows Ring3注入——“QueueUserAPCAPC注入(四)
qq_38493448的博客
01-16 1151
Windows Ring3注入——“QueueUserAPCAPC注入(四)APC概念APC重点解释APC调用回调函数的条件APC注入函数原型及原理APC注入步骤APC注入代码示例APC注入优缺点优点:缺点: APC概念 正常情况下,线程自己不主动调用ExitThread函数,或者一个进程内的其他线程不调用TerminateThread函数来终止线程的话,线程本身的行为是不会改变的。 那如果...
DLL注入技术之APC注入
潜心学习
06-28 2467
DLL注入技术之APC注入     APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断。     2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函
dll注入目标进程
record
05-11 594
DLL 利用MFC创建,def文件中加入函数名,在cpp文件中写入自己的函数代码。 在EXE源文件中加入两句代码。 #pragma   comment(lib,"dll.lib");  __declspec( dllimport ) void goHook(); 然后调用函数即可。 以下安装钩子让QQ2013键盘失效 HHOOK aHook; LRESULT CALLBA
APC注入(QueueUserAPC)--Ring3
KOOKNUT的博客
05-19 1198
APC英文全称(Asynchronous Procedure Call),我们一般译为异步过程调用。它是一种Windows的软中断机制,一般分为两种: 内核APC:由系统产生的APC。 用户APC:由应用层程序产生的APC。 当一个线程从等待状态(线程调用SleepEx、SignalObjectAndWait、WaitForSingleObjectEx、WaitForMultipleObjectsEx等函数是会进入可唤醒状态)中苏醒时,线程会检查有没有APC需要去执行,如果有APC,则去执行这些异步过程
Dll注入Ring3APC注入
aijuzhou1959的博客
02-19 189
APC,即Asynchronous procedure call,异步程序调用APC注入的原理是:在一个进程中,当一个执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断,当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数,利用QueueUserAPC()这个API,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,...
注入系列:APC注入Ring3
weixin_43742894的博客
03-22 862
APC注入的作用:APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。 要了解APC注入,我们首先来了解Windows的APC机制。 APC机制详细可参考本文:https://blog.csdn.net/qq229596421/article/details/77828647 简单来说,APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。 APC队列:每个线程都有...
注入技术--APC注入
weixin_30872733的博客
03-17 127
1. APC即远程过程调用, 分为内核级和用户级,在ring3层中,使用用户级的APC即可进行注入dll 但是不能针对已有进程 2. //apc注入, 需要新建立目标进程, 不能针对已运行的进程 DWORD apcInject(WCHAR* dllpath,WCHAR* exepath) { STARTUPINFOW sp = { 0 }; sp.cb = si...
APC 基本概念及APC注入的实现(Ring3 + Ring0)----概念介绍
商少
07-19 3336
APC 基本概念及APC注入的实现(Ring3 + Ring0)—-概念介绍基本术语 中断—-一个异步事件,可能在任何时候发生,与处理器当前正在执行的代码无任何关系。—-中断的产生主要有:I/O 设备、处理器始终,或者定时器,另外,终端可以被打开或者被禁止。 异常是一个同步事件,它是一个特殊指令执行的结果,特点就是可重复与可预见性。在同样的条件下用同样的数据第二次运行一个程序可以重现原
32,64位下的Ring3层的动态库dll注入
11-22
自己写的一个进程,将对方的进程空间打开,在其中写ShellCode,这句shellcode翻译为机器指令实际上就是loadlibrary(Dll.dll),也就是自己写的一个动态库,在这个动态库中这写了当有进程加载此动态库时弹出一个...
3D-ring-creator
06-28
##安装说明安装 全局安装 Grunt npm install -g grunt-cli 克隆 repo [email protected]:Tomesch/jweel-ring.git cd jweel-ring 安装 npm 依赖项npm install 安装 bower 依赖grunt install ##可用的grunt任务grunt ...
Rootkit-Ring3_rootkit_
09-29
Repo for Rootkit Ring 3 and Ring 0 test in Python and C++
APC注入实现代码
07-30
纯Ring0 + Ring3 交互
11.ring3-APC注入
hgy413的专栏
08-16 1676
原理: 往线程APC队列添加APC,系统会产生一个软中断。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。 每个线程都拥有自己的APC队列。应用程序可以使用函数把APC添加到指定线程的APC队列,函数定义如下: DWORD WINAPI QueueUserAPC( __in
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
最新发布
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
用arcpy写O-ring函数
06-08
由于O-ring函数并不存在于常见的编程语言中,我无法为您提供arcpy下的O-ring函数。但是,我们可以自己编写函数来模拟O-ring的功能。下面是一个简单的示例代码,该代码使用arcpy创建一个圆,并在该圆内部或外部返回...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值