APC初始化 —— 逆向分析 KeInitializeApc

最新推荐文章于 2023-04-30 18:59:50 发布
最新推荐文章于 2023-04-30 18:59:50 发布
阅读量737 收藏 1
点赞数
分类专栏: Windows内核 文章标签: 安全 内核 底层应用开发 windows xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43890959/article/details/115010452
版权

简介

操作系统想要实现对正在执行的线程的管理,就要通过 APC 机制实现,即向目标线程的 APC 队列中插入 _KAPC ,以实现对该线程的管理(如挂起、终止)。

而向线程插入 APC 就需要先初始化 APC ,在 Windows中使用 KeInitializeApc 函数实现对APC 的初始化。


PspTerminateThreadByPointer 函数为例,部分重要汇编指令如下:
在这里插入图片描述


逆向分析KeInitializeApc

在这里插入图片描述

walker-n
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kinject-x64:Kinject - 内核 dll 注入器,目前提供 x86 版本,即将更新到 x64
06-13
Kinject-x64 ... 初始化APC并插入到目标线程中。//KeInitializeApc,KeInsertQueueApc 目标线程在目标进程的地址空间中执行 APC 例程。 APC 例程调用 LdrLoadDll 来加载 DLL。 等待 APC 例程完成。 释放分
滴水逆向apc机制
若面朝大海边竹妮春暖花开的博客
08-31 739
nt!_KTHREAD +0x000 Header : _DISPATCHER_HEADER +0x018 CycleTime : Uint8B +0x020 QuantumTarget : Uint8B +0x028 InitialStack : Ptr64 Void +0x030 StackLimit : Ptr64 Void +0x...
apc
Sunny_wwc的专栏
03-15 1248
NTKERNELAPIVOIDKeInitializeApc (    IN PRKAPC Apc,    IN PKTHREAD Thread,    IN KAPC_ENVIRONMENT Environment,    IN PKKERNEL_ROUTINE KernelRoutine,    IN PKRUNDOWN_ROUTINE RundownRoutine OPTIONAL,    IN PKNORMAL_ROUTINE NormalRoutine OPTIONAL,    IN KPROCE
APC实现在内核模式运行用户程序
06-30 2316
//=====================================================================================////Name: void RunUserModeProcess()                                                              ////        
windows内核之用户APC执行流程图(KiInitializeUserApc
windows小菜鸡的博客
12-02 407
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2196
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2173
简介 线程所属的父进程 _EPROCESS 结构体中的 ThreadListHead 成员是当前进程中所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构体中的 ThreadListEntry 成员实现遍历进程中的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREAD 的 ThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
全局句柄表 —— 遍历全局句柄表
walker的博客
03-16 1390
简介 进程句柄表是私有的,每个进程都有自己的进程句柄表。除此之外,系统还有一个全局句柄表,全局变量 PspCidTable 指向该表。 全局句柄表存储的是操作系统中所有创建的进程、线程的句柄(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID , 这两个值其实就是全局句柄表中的索引。 也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局句柄表中就会记录其对应的句柄(PID/CID),仍然可以通过全局句柄实现对线程、进程的遍历。 EnumPspCidTab
R0-R3 现场保护(_KTrap_Frame/_KPCR/_ETHREAD)—— 分析内核函数KiSystemService
walker的博客
03-05 1082
简介 在进程由用户态进入内核态的过程中,发生了 ESP/SS/EIP/CS 的切换。因此,在进程权限切换的工程中,必然要进行寄存器的现场保护。 这里,要使用到3个内核结构体:_KTrap_Frame/_KPCR/_ETHREAD。 _KTrap_Frame 每个线程在内核中都有一个 _KTrap_Frame 结构体,用于操作系统对线程的管理,该结构体时操作系统进行维护的。 _KTrap_Frame 的结构如下: kd> dt _KTrap_Frame nt!_KTRAP_FRAME //调
R3-R0 系统调用(快速调用与中断门)
walker的博客
03-03 999
简介 我们知道,通过驱动程序可以实现从用户态进入内核态。而操作系统的 API 函数可以实现进入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态进入内核态。 _KU
句柄表 ——遍历句柄表实现反调试
walker的博客
03-17 721
简介 我们知道,当我们尝试在进程中创建、打开内核对象时,该内核对象的地址会作为句柄项存储在进程的句柄表中。 因此,我们可以通过遍历全局句柄表获取操作系统中的全部进程(如 OllyDbg 就实现了进程隐藏,在任务管理器中是无法看到该进程的),然后再遍历每个进程的私有句柄表,检测其私有句柄表中是否存储着被保护进程的内核对象地址 _EPROCESS,就可以得知被保护进程是否被其他进程附加,以达到反调试的目的。 当然通过不断将被保护进程的 _EPROCESS.DebugPort 清零,就可以强制实现进程无法被附加调
全局句柄表 —— 抹除进程PID
walker的博客
03-16 691
简介 进程 PID 是进程的唯一标识,那么如果我们尝试抹除进程的 PID 会发生什么情况呢? 本次的测试代码以及关于全局句柄表,可参考 全局句柄表 —— 遍历全局句柄表 Code 驱动程序的关键代码如下: // 该句柄是进程句柄 if (!RtlCompareUnicodeString(&pWkPOBJECT_TYPE->Name, &unicode_Process, TRUE)) { DbgPrint("句柄类型: Process, 句柄号: %u.\n", uHand
时钟中断 (线程切换)—— 逆向分析 KeUpdateRunTime/KiDispatchInterrupt
walker的博客
03-14 639
简介 系统时钟可以实现的线程的切换。 Windows 系列操作系统的时钟间隔:10 - 20 毫秒,采用 0x30 中断号。 在系统时钟下,线程的执行流程: 当一个新的线程开始执行时,初始化程序会在 _KTHREAD.Quantum 赋初始值,该值的大小由 _KPROCESS.ThreadQuantum 决定。 线程在执行过程中,系统就会调用 KeUpdateRunTime 来记录时间片的使用情况。 KiDispatchInterrupt 完成对线程的调度 (1)当该线程的时间片耗尽并让出处理
清空 _EPROCESS 结构体中的 DebugPort ,实现进程无法被附加调试
walker的博客
03-07 624
简介 在内核 _EPROCESS 中有一个 DebugPort 成员,该成员中存储的是一个内核调试对象地址。当调试器附加进程调试时,操作系统会在内核中创建一个调试对象,并将调试对象的地址写入对应被调试进程的 _EPROCESS 结构体中的 DebugPort 成员中,用于实现调试器与被调试进程之间建立联系。而清空该地址时,调试器将会与被调试进程之间失去关联,即无法继续调试该进程。 如果调试器重复多次发起调试请求,操作系统将会重复将调试对象的地址写入被调试进程。如果只将 DebugPort 清空一次,依然会
SSDT Hook (HookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 552
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程。 Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
线程切换 ——逆向分析 KiSwapThread
walker的博客
03-14 507
简介 在 Windows 内核中,线程的切换是通过 API 函数 KiSwapThread 实现获取将要执行的线程 _KTHREAD 结构体指针,再调用 KiSwapContex/SwapContex 函数实现线程上下文的切换,以实现线程的切换。 KiSwapThread/KiSwapContex/SwapContex 直接的调用关系如下: KiSwapThread 内核函数 KiSwapThread 的汇编代码分析如下: .text:004050BF ; =============== S U B
线程切换 —— 逆向分析 KiSwapContex/SwapContex
walker的博客
03-14 303
简介 在 Windows 内核中,线程的切换是通过底层内核 API 函数 KiSwapContex/SwapContex 实现的。 KiSwapContex KiSwapContex 的逆向分析如下: .text:00404828 ; =============== S U B R O U T I N E ======================================= .text:00404828 .text:00404828 .text:00404828 ; __fastcall KiS
(x86)硬件断点的原理与测试
walker的博客
04-30 301
硬件中断的原理与测试。
PKNORMAL_ROUTINE 头文件
最新发布
12-11
很抱歉,根据提供的引用内容,无法回答关于PKNORMAL_ROUTINE头文件的问题。引用中提到了KeInitializeApc函数,该函数是Windows内核API函数之一,用于初始化异步过程调用(APC)对象。PKNORMAL_ROUTINE是KeInitializeApc函数的一个参数,它是一个指向函数的指针,该函数在APC对象被系统执行时被调用。引用中提到了STATUS_MORE_PROCESSING_REQUIRED状态码,该状态码表示驱动程序需要更多的处理才能完成IRP请求。如果驱动程序返回此状态码,则它必须在稍后的某个时间点继续处理IRP请求。如果您有其他相关问题,请告诉我,我会尽力回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值