APC注入和KernelCallbackTable注入的可能

最新推荐文章于 2024-04-28 12:22:35 发布
VIP文章 最新推荐文章于 2024-04-28 12:22:35 发布
阅读量531 收藏 1
点赞数
分类专栏: 网络安全 运维 计算机 文章标签: windows 服务器 运维 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55436205/article/details/129757973
版权

Windows下关于进程的注入方法有很多
有几种通用性较强像APC注入和KernelCallbackTable注入。这里结合了实际参考了github代码和一些优化的项目来将其实现,然后更好的理解学习一下这两种注入的方式和它们的可操作性。

APC Code Injection

首先来介绍一下APC APC注入 和实现的过程中一些细节的地方,比如枚举线程,用户态内核态APC的区别等这样方便更好的理解APC 注入的实现原理和后续改进等。
Windows内核态使用APC来完成异步启动的I/O操作,线程挂起等行为
APC是(Asynchronous Procedure Call)指异步过程调用
APC是允许用户程序和系统组件在特定线程的上下文中执行代码,因此会在特定进程的地址空间内执行代码,与APC注入有关的DLL主要有两个:Kernel32.dll和Ntdll.dll
有关的函数主要有如下这几个

`

CreateToolhelp32Snapshot,Process32First,Process32Next,Thread32First,Thread32Next,OpenProcess,OpenThread,DuplicateHandle,GetCurrentProcess,WriteProcessMemory,VirtualProtectEx,QueueUserAPC,ResumeThread,NtAllocateVirtualMemory

以上的函数,在APC注入过程中都会使用到其中有几个在其他注入方法中可能不常见的函数,需要了解一下函数的作用。比如QueueUserAPC --将用户模式 异步过程调用 (APC) 对象添加到指定线程的 APC 队列,ResumeThread --递减线程的挂起计数。 当暂停计数递减为零时,将恢复线程的执行

每个线程都有一个存储所有APC的队列,线程可以在进程内执行代码,线程可以利用APC队列异步执行代码

插播

APC 分为两种类型用户模式APC 和 内核模式APC
用户模式APC在目标线程的进程上下文中的用户空间执行,它要求目标线程处于可更改的等待状态,内核模式APC在内核空间执行 此时又可以分为常规APC和特殊APC。
内核/用户 APC都具有三个功能:
● KernelRoutine:该函数将在内核空间中执行(如果是普通内核APC和用户APC,则IRQL= PASSIVE_LEVEL 如果是特殊内核APC 则IRQL=APC_LEVEL,这样创建具有编号的线程来挂起系统上的所有其他 CPU,并且每个线程将 IRQL 提升到DISPATCH_LEVEL,然后将当前处理器上的 IRQL 提升到DISPATCH_LEVEL,这样不会被 Windows 内核或任何其他驱动程序打断,并且由于 APC 是在APC_LEVEL或PASSIVE_LEVEL分派的,APC 在 APC 枚举期间不会更改。)
● RundownRoutine:如果线程在到达APC之前中止,就会在内核空间中调用此函数
● NormalRoutine:如果是内核态APC 这个函数会在内核空间调用,如果是用户态APC则会在用户空间调用。
每个线程都在_KTHREAD数据结构中有两个_KAPC_STATE类型的成员,名为ApcState和SavedApcState
● ApcState: 无论线程是附加到自己的进程还是其他进程都在使用
● SavedApcState:用于存储不是当前上下文且必须等待的进程上下文的APC(列如:当线程附加到另一个进程时候,APC正在排队等待自己的进程)
_KAPC_STATE 结构有一个名为 ApcListHead 的成员,它是两个 LIST_ENTRY 结构,被视为内核 APC 和用户 APC 的列表头,并将用于为线程排队 APC
Windbg内核调试即可获取到_KAPC_STATE

0: kd> dt nt!_KTHREAD
   +0x000 Header           : _DISPATCHER_HEADER
   +0x018 SListFaultAddress : Ptr64 Void
.......................................................
   +0x098 ApcState         : _KAPC_STATE   
   +0x098 ApcStateFill     : [43] UChar
   +0x0c3 Priority         : Char
   +0x0c4 UserIdealProcessor : Uint4B
   +0x0c8 WaitStatus       : Int8B
   +0x0d0 WaitBlockList    : Ptr64 _KWAIT_BLOCK
   +0x0d8 WaitListEntry    : _LIST_ENTRY
..........................................
最低0.47元/天 解锁文章
杰克逊2450
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
process-inject:在Windows环境下的进程注入方法:远程线程注入,创建进程挂起注入,反射注入APCInject,SetWindowHookEX注入
01-30
process-inject:在Windows环境下的进程注入方法:远程线程注入,创建进程挂起注入,反射注入APCInject,SetWindowHookEX注入
注入技术之APC注入
whs100505的博客
02-10 695
APC注入 原理:每个线程都有一个APC队列,当调用SleepEx,SignalObjectAndWait,WaitForSingleObjectEx,WaitForMultipleObjectsEx或MsgWaitForMultipleObjectsEx进入警报状态时,系统会遍历该线程的APC,按照先进先出的顺序执行APC。 #include <Windows.h> bool AP...
APC_dll注入
qq_36918532的博客
03-03 421
主要是以下五步 //注入器 //1.要注入到进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
Windows 动态注入(远程线程、消息钩子、APC
wangluoanquan111的博客
02-28 950
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…一个比较关键的问题是创建的远程线程是在目标进程中执行,无法调用本地函数,因此要利用系统API实现加载dll文件的操作。
自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教!
gold0523的专栏
08-14 1762
标 题: 【分享】【原创】自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教! 作 者: czcqq 时 间: 2011-08-09,01:49:10 链 接: http://bbs.pediy.com/showthread.php?t
CVE-2022-21882 Win32k内核提权漏洞深入分析
m0_71745258的博客
01-29 274
CVE-2022-21882是对CVE-2021-1732漏洞的绕过,属于win32k驱动程序中的一个类型混淆漏洞。攻击者可以在user_mode调用相关的GUIAPI进行内核调用,如xxxMenuWindowProc、xxxSBWndProc、xxxSwitchWndProc、xxxTooltipWndProc等,这些内核函数会触发回调xxxClientAllocWindowClassExtraBytes。攻击者可以通过hook。
进程注入系列一之APC注入
weixin_46539164的博客
04-28 3229
什么是APC APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。 MSDN解释为: 相关函数 QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列中 APCproc:函数作用: 回调函数的写法. 核心函数 QueueUserAPC DWORD QueueUserAPC( PAPCFUNCpfnAPC, // APC function HANDLEhT
APC注入以及几种实现方式
include_voidmain的博客
08-02 1886
APC注入以及几种实现方式
第五章 进程注入APC注入(附源码)
test\\的博客
12-01 1609
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程的APC队列中。
ring3改KernelCallbackTable防键盘钩子
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 1749
ring3改KernelCallbackTable防键盘钩子 __declspec(naked) test() {   _asm   {     ret     jmp oldaddr   } } DWORD * KernelCallbackTable = NULL; _asm {      push eax      mov eax,dw
APC注入
Dokii_i的博客
02-02 444
线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectsEx、WaitForMultipleObjectsEx、WaitForSingleObjectEx函数时会进入警告状态,系统会产生一个软中断,线程再次被唤醒时会检查APC队列执行所有APC函数。_KAPC_STATE.KernelApcPending为1则调用 KiDeliverApc 执行APC函数,执行完再循环遍历。用户APC:由应用程序产生,在内核、用户层切换时使用不同栈。
C++ APC注入.zip
08-06
C++ APC注入,主要用于远程线程注入Winlogon导致win7桌面崩溃时,采用APC注入。亲测可注入win7。VS2017 更换最新SDK后,编译通过。
APC注入测试源码C++
12-19
一个对APC注入进行学习测试的例子,可以在用户态下执行。但是对系统进程仍无法进行注入,不清楚是权限问题还是其他的问题。 工程在vs2012下编译测试成功。 共有三个工程 1、ApcInject 实现Apc注入功能 2、InjectTest...
易语言移植的APC注入
07-22
易语言移植的APC注入源码,移植的APC注入,APC注入,CreateWMap,ThreadLibraryA
易语言移植的APC注入源码
06-06
易语言移植的APC注入源码。@易语言在线学习。
易语言源码易语言移植的APC注入源码.rar
02-21
易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar 易语言源码易语言移植的APC注入源码.rar ...
使用Mybatis映射时间 DateTime ==> LocalDateTime
qq_58341172的博客
04-25 369
此处有弊端,请移步下一篇……service:接口。
C语言:数据结构(双向链表)
最新发布
weixin_66058866的博客
04-28 478
带头链表里的头节点,实际为“放哨的”,哨兵位节点不存储任何有效元素,只是站在这里“放哨的”,“哨兵位”存在的意义:遍历循环链表避免死循环。
循环双链表的操作
一个正在学习C/C++的博主
04-25 244
【代码】循环双链表的操作。
windows apc注入原理
06-11
Windows APC(Asynchronous Procedure Call)注入是一种常见的注入技术,它利用了 Windows 操作系统中的异步过程调用机制来实现注入。具体原理如下: 1. 创建目标进程 首先,攻击者需要创建一个目标进程,该进程将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值