插入APC读写内存

最新推荐文章于 2024-04-05 09:52:49 发布
原创 最新推荐文章于 2024-04-05 09:52:49 发布 · 849 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#读写内存

本文详细介绍了在Windows内核模式下使用APC(Asynchronous Procedure Call)进行跨进程内存读写的方法。通过具体代码示例,展示了如何利用PsLookupProcessByProcessId定位目标进程,以及如何使用KeStackAttachProcess和KeUnstackDetachProcess实现温柔的内存读取和写入操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include "ntddk.h"
#include "a_header.h"


NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
NTKERNELAPI VOID NTAPI KeStackAttachProcess(PEPROCESS Process, PKAPC_STATE ApcState);
NTKERNELAPI VOID NTAPI KeUnstackDetachProcess(PKAPC_STATE ApcState);

ULONG PID = 2340;
ULONG length = 6;
ULONGLONG address = 0x0725F102;

//插入APC温柔读内存
BOOLEAN APCReadProcessMemory()
{
	PEPROCESS pepro;
	LONG retdata = 0;
	KAPC_STATE ExitApc = { 0 };

	NTSTATUS st = PsLookupProcessByProcessId((HANDLE)PID, &pepro);
	if (!NT_SUCCESS(st))
	{
		return FALSE;
	}

	ObDereferenceObject(pepro);
	__try
	{
		KeStackAttachProcess(pepro, &ExitApc);
		ProbeForRead((CONST PVOID)address, length, sizeof(CHAR));
		RtlCopyMemory(&retdata, (PUCHAR)address, length);
		KeUnstackDetachProcess(&ExitApc);
		KdPrint(("读取的数据为:%x", retdata));
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("获取失败"));
		KeUnstackDetachProcess(&ExitApc);
		return FALSE;
	}
	return TRUE;
}

//插APC温柔写内存
BOOLEAN APCWriteProcessMemory()
{
	PEPROCESS pepro;
	KAPC_STATE kapc = { 0 };
	NTSTATUS st = PsLookupProcessByProcessId((HANDLE)PID, &pepro);
	if (!NT_SUCCESS(st))
	{
		return FALSE;
	}

	ObDereferenceObject(pepro);
	ULONG64 Cr0;
	__try
	{
		KeStackAttachProcess(pepro, &kapc);
		ProbeForWrite((CONST PVOID)address, length, sizeof(CHAR));
		_disable();
		Cr0 = __readcr0();
		Cr0 &= 0xfffffffffffeffff;
		__writecr0(Cr0);
		_enable();
		memcpy((PCHAR)address, "ffffff", length);
		_disable();
		Cr0 |= 10000;
		__writecr0(Cr0);
		_enable();
		KeUnstackDetachProcess(&kapc);
		KdPrint(("获取成功"));
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		_disable();
		Cr0 |= 10000;
		__writecr0(Cr0);
		_enable();
		KeUnstackDetachProcess(&kapc);

		KdPrint(("获取失败"));
		return FALSE;
	}
	return TRUE;
}

 

3.APC的挂入过程
My classmates
10-23 724
无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。 每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。 kd> dt _kapc nt!_KAPC +0x000 Type //类型APC类型为0x12 +0x002 Size //本结构体的大小0x30...
Phalcon搭建多模块框架三十一:数据库读写分离
赵阳的博客
06-19 1137
phalcon除了可以设置不同模型连接不同的数据库还可以设置数据库读写分离。下面就说说怎么使用主从设置。 1、修改config下的配置文件(三种模式下的配置文件) 修改 'db' => [ // 是否记录执行的mysql语句 'logged' => true, // 记录执行时间超过0秒的mysql语句 'max_execute_time...
APC驱动读写
CalvinXu
03-05 1214
//插APC温柔读内存 BOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata) { PEPROCESS pepro; KAPC_STATE kapc = { 0 }; pepro = LookupProcess((HANDLE)PID); if (pepro == ...
插入用户APC
u012129783的博客
08-24 767
每个_Kthread都有一个成员Alerted,默认为0,表示是否可以被APC唤醒。所以下面这段程序,即使插入APC,但是t线程仍然不会执行。 让t线程执行APC函数的方法是使t线程变成可被唤醒状态,使用函数SleepEx(时间,是否可以唤醒线程),第二个参数为true,Alerted设置为1,即可被唤醒;在插入APC时,APC函数就会执行。 #include "stdafx.h" #inc...
APC注入
Dokii_i的博客
02-02 751
线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectsEx、WaitForMultipleObjectsEx、WaitForSingleObjectEx函数时会进入警告状态,系统会产生一个软中断,线程再次被唤醒时会检查APC队列执行所有APC函数。_KAPC_STATE.KernelApcPending为1则调用 KiDeliverApc 执行APC函数,执行完再循环遍历。用户APC:由应用程序产生,在内核、用户层切换时使用不同栈。
APC实现DLL注入
十年磨一剑,霜刃未曾试!
01-19 2597
#include #include int InjectDllWithApc(char DllFullPath[MAX_PATH], ULONG pid ) { HANDLE hProcess,hThread,hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32 = {0} ; HMODULE hDll = GetM
x64内存读写驱动
03-27
标题中的“x64内存读写驱动”指的是一个专为64位(x64架构)操作系统设计的驱动程序,它的主要功能是允许程序在内存中进行读取和写入操作。这种驱动通常用于游戏修改、调试或者性能优化场景,因为它们能够绕过应用...
[分享]两种强力读写内存的方法(可过某游戏代理商的保护).pdf
08-23
根据提供的文档内容,本文将详细解析两种用于强力读写内存的方法,这些方法旨在绕过某些游戏代理商所实施的保护机制。这两种方法分别是:利用目标线程插入APC(Asynchronous Procedure Call,异步过程调用)进行内存...
.注入的基本原理是内存注入加执行shell code的方式。 2.通过找到重定位shell code的方式,实现注入。 01:52 内核 APC劫持 1.内核APC劫持是通过插一个内核APC来实现用户模式的执行。 2.内核APC在内核模式执行,可以修改RIP和RBP。 03:29 实验环境和兼容性说明 1.实验仅兼容Windows 10及以后版本,不支持Windows 7。 2.Windows 7不兼容的原因包括隐藏内存和导出函数的问题。 07:37 导入导出函数和日志记录 1.引入必要的头文件和导出函数。 2.使用log宏记录错误信息。 09:33 设置APC函数 1.设置APC函数,参数包括进程ID和注入路由。 2.函数内部实现包括获取线程、插入APC等步骤。 18:34 创建和插入APC 1.创建APC,使用no configure put和size of APC。 2.判断APC是否成功创建,并关闭句柄。1.成功执行内核APC,确认PID为5916,TID为4988。 2.通过主线程注入APC,验证内核APC的执行过程。 04:04 寻找KTRAP_FRAME的方法 1.利用堆栈布局寻找KTRAP_FRAME,确保全系统兼容性。 2.通过initial stack、TSS、KPCRB等方式寻找KTRAP_FRAME。 3.选择initial stack方法,因其位置偏移在所有系统上一致。 06:55 获取Initial Stack的方法 1.使用PsGetCurrentProcess()获取current process。 2.通过initial stack减去KTRAP_FRAME大小找到KTRAP_FRAME。 3.验证找到的KTRAP_FRAME是否正确,通过修改地址并断点验证。 11:06 蓝屏问题的解决 1.在尝试修改KTRAP_FRAME时遇到蓝屏问题。 2.通过调试确认蓝屏原因,发现RKL过高导致问题。 3.调整RKL值并重新测试,确认问题解决。.在驱动中申请内存,直接使用 ZwAllocateVirtualMemory 函数。 2.申请内存前需要隐藏 PID 和分配大小。 3.定义函数 Ta,传入 PID 和分配大小。 4.调用 PsLookupProcessById 和 ZwAllocateVirtualMemory。 06:34 读写文件操作 1.读写文件操作使用 ZwGetFileBuffer 函数。 2.传入文件名、二级指针和文件大小。 3.初始化 Unicode 字符串表示文件名。 4.使用 ZwCreateFile 创建文件句柄。 5.查询文件信息,获取文件大小。 6.根据文件大小申请内存,并读取文件内容到内存中。 7.使用 ZwReadFile 读取文件内容。 8.读取完成后,使用 ZwClose 和 ZwFlushBuffersFile 关闭文件并释放内存。该视频主要讲述了完善APC注入的shell code的过程。首先,复制了之前编写的shell code,并强调了其稳定性和参数填写的必要性。接着,提到了在使用share code时需要注意关闭一些安全检查和防护流保护,以确保代码能够正常生成。然后,复制了manual mapping data和函数指针,并补充了缺少的nt image和重定位标志。最后,通过复制和修改代码,解决了hit memory和文件映射的问题,完成了shell code的完善工作。 分段总结 00:12 ShellCode编写与K_routine修改实验完成 1.完善apc注入的shell code,通过复制已有的shell code作为基础。 2.介绍修改K_routine的步骤,包括关闭安全检查和防护流保护等。 3.通过链接器设置增量链接,确保shell code的正确生成和注入。 4.复制必要的函数指针和图像文件,以支持shell code的执行。 5.通过重定位和标志复制,完成shell code的最终准备。 08:17 ShellCode注入与测试 1.介绍注入shell code的过程,包括手动映射数据和设置APC。 2.提供注入参数的设置方法,包括调用名、路径、PID等。 3.通过复制和修改内核实验中的hit memory代码,实现内存注入申请。 4.详细讲解shell code的执行流程,包括寄存器保存、堆栈对齐和重定位数据的传递。 5.测试注入的shell code,确保其能在目标系统中正确执行。 28:22 ShellCode稳定性与商用考虑 1.讨论shell code的稳定性,以及在商用环境中的应用考虑。 2.建议在使用shell code后及时卸载,以避免被检测到使用过期签名。 3.介绍在商用环境中,通过事件和单对象等待函数来确保注入的稳定性和安全性。1.实验目的:实现无驱动附加的读写功能,验证无需读写技术的可行性。 2.实验原理:通过修改内存指令,实现无驱动的读写操作。 3.实验环境:Windows操作系统,WinDbg调试工具。这个是无驱注入。你看看能不能无驱
最新发布
07-22
- 使用`VirtualAllocEx`在目标进程中申请可读写内存(通常为PAGE_READWRITE)。 - 申请的内存用于存储DLL路径字符串。 - **文件操作**: - 不需要在目标进程内进行文件读写,而是将DLL的完整路径写入目标进程的...
PHP APC缓存配置、使用详解
12-18
2. **用户数据缓存**:用户可以在PHP代码中使用`apc_store`和`apc_fetch`函数进行自定义数据的读写操作。对于小规模的数据存储,这是一个可行的选择;但如果是大规模数据,建议使用更专业的内存缓存服务,如...
APC注入实现代码
07-30
纯Ring0 + Ring3 交互
探索Kernel-Special-APC-ReadProcessMemory: 深入Windows内核的安全工具
gitblog_00053的博客
04-05 414
探索Kernel-Special-APC-ReadProcessMemory: 深入Windows内核的安全工具 是一个开源项目,专注于在Windows操作系统中进行内核级编程和调试。该项目提供了一种方法,通过特殊调度例程(Special APC)和ReadProcessMemory API来访问并读取目标进程的内存。本文将探讨其技术原理、应用场景及独特之处,以鼓励更多的开发者和安全研究人员探索这...
proc及读写内存
快乐的小鸟
02-04 1192
/proc/modules 当前装入内核的所有模块名称列表,可以由lsmod命令使用,也可以直接查看;如下所示,其中第一列表示模块名,第二列表示此模块占用内存空间大小, 第三列表示此模块有多少实例被装入,第四列表示此模块依赖于其它哪些模块,第五列表示此模块的装载状态(Live:已经装入;Loading:正在装入; Unloading:正在卸载),第六列表示此模块在内核内存(kernel me
windows内核学习之APC队列得插入过程
windows小菜鸡的博客
11-30 276
内核中通过给线程插apc注入dll
sgzwiz的专栏
03-03 7942
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
内核APC&用户APC详解
hongduilanjun的博客
09-14 1052
比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不是原来的位置,那就意味着必须要修改EIP为新的返回位置。那原来的值怎么办呢?结构,这里当APC是内核APC的时候存储的是真正的APC地址,当APC是用户APC的时候存储的是指向用户APC的总入口。然后修改eip,这里永远返回一个固定的位置,但是这个位置在每次系统启动的时候都不相同,存放在3环的。当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存器,栈的位置等等 (里面存储的是内核APC的地址还是APC的的总入口,然后再跳转。
【Windows原理】异步IO-_APC(异步过程调用)
Sven的忘却日记
06-10 890
// 同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中 // 阻塞住. // 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住 // 但是异步IO要完成这样的特性是有一点付出的 // 异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. // 这里讲的是第三个方式, 通过设置IO完成函数来处理已完成的IO任...
4.内核APC执行过程
My classmates
10-24 1857
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
关于APC
tian_wen的专栏
04-05 712
APC,异步过程调用。 APC是线程相关的,每个线程都有自己独自的APC链表,因此可以让一段代码在指定的线程上下文中运行。系统中有两种APC,用户层和内核层APC. 应用: APC被知道的最多的应用应该是对一些异步操作的支持,如ReadFile的异步方式等。以ReadFile为例,文件系统发现这是一个异步调用,就会标记为Pending,然后立刻返回。等读取操作完成的时候,在将结果拷贝到用户层的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值