插入APC读写内存

最新推荐文章于 2024-04-05 09:52:49 发布
最新推荐文章于 2024-04-05 09:52:49 发布
阅读量849 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: 读写内存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liuhaidon1992/article/details/103894698
本文详细介绍了在Windows内核模式下使用APC(Asynchronous Procedure Call)进行跨进程内存读写的方法。通过具体代码示例,展示了如何利用PsLookupProcessByProcessId定位目标进程,以及如何使用KeStackAttachProcess和KeUnstackDetachProcess实现温柔的内存读取和写入操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include "ntddk.h"
#include "a_header.h"


NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
NTKERNELAPI VOID NTAPI KeStackAttachProcess(PEPROCESS Process, PKAPC_STATE ApcState);
NTKERNELAPI VOID NTAPI KeUnstackDetachProcess(PKAPC_STATE ApcState);

ULONG PID = 2340;
ULONG length = 6;
ULONGLONG address = 0x0725F102;

//插入APC温柔读内存
BOOLEAN APCReadProcessMemory()
{
	PEPROCESS pepro;
	LONG retdata = 0;
	KAPC_STATE ExitApc = { 0 };

	NTSTATUS st = PsLookupProcessByProcessId((HANDLE)PID, &pepro);
	if (!NT_SUCCESS(st))
	{
		return FALSE;
	}

	ObDereferenceObject(pepro);
	__try
	{
		KeStackAttachProcess(pepro, &ExitApc);
		ProbeForRead((CONST PVOID)address, length, sizeof(CHAR));
		RtlCopyMemory(&retdata, (PUCHAR)address, length);
		KeUnstackDetachProcess(&ExitApc);
		KdPrint(("读取的数据为:%x", retdata));
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("获取失败"));
		KeUnstackDetachProcess(&ExitApc);
		return FALSE;
	}
	return TRUE;
}

//插APC温柔写内存
BOOLEAN APCWriteProcessMemory()
{
	PEPROCESS pepro;
	KAPC_STATE kapc = { 0 };
	NTSTATUS st = PsLookupProcessByProcessId((HANDLE)PID, &pepro);
	if (!NT_SUCCESS(st))
	{
		return FALSE;
	}

	ObDereferenceObject(pepro);
	ULONG64 Cr0;
	__try
	{
		KeStackAttachProcess(pepro, &kapc);
		ProbeForWrite((CONST PVOID)address, length, sizeof(CHAR));
		_disable();
		Cr0 = __readcr0();
		Cr0 &= 0xfffffffffffeffff;
		__writecr0(Cr0);
		_enable();
		memcpy((PCHAR)address, "ffffff", length);
		_disable();
		Cr0 |= 10000;
		__writecr0(Cr0);
		_enable();
		KeUnstackDetachProcess(&kapc);
		KdPrint(("获取成功"));
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		_disable();
		Cr0 |= 10000;
		__writecr0(Cr0);
		_enable();
		KeUnstackDetachProcess(&kapc);

		KdPrint(("获取失败"));
		return FALSE;
	}
	return TRUE;
}

 

3.APC的挂入过程
My classmates
10-23 724
无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。 每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。 kd> dt _kapc nt!_KAPC +0x000 Type //类型APC类型为0x12 +0x002 Size //本结构体的大小0x30...
proc及读写内存
快乐的小鸟
02-04 1192
/proc/modules 当前装入内核的所有模块名称列表,可以由lsmod命令使用,也可以直接查看;如下所示,其中第一列表示模块名,第二列表示此模块占用内存空间大小, 第三列表示此模块有多少实例被装入,第四列表示此模块依赖于其它哪些模块,第五列表示此模块的装载状态(Live:已经装入;Loading:正在装入; Unloading:正在卸载),第六列表示此模块在内核内存(kernel me
APC驱动读写
CalvinXu
03-05 1214
//插APC温柔读内存 BOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata) { PEPROCESS pepro; KAPC_STATE kapc = { 0 }; pepro = LookupProcess((HANDLE)PID); if (pepro == ...
插入用户APC
u012129783的博客
08-24 767
每个_Kthread都有一个成员Alerted,默认为0,表示是否可以被APC唤醒。所以下面这段程序,即使插入APC,但是t线程仍然不会执行。 让t线程执行APC函数的方法是使t线程变成可被唤醒状态,使用函数SleepEx(时间,是否可以唤醒线程),第二个参数为true,Alerted设置为1,即可被唤醒;在插入APC时,APC函数就会执行。 #include "stdafx.h" #inc...
APC注入
Dokii_i的博客
02-02 751
线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectsEx、WaitForMultipleObjectsEx、WaitForSingleObjectEx函数时会进入警告状态,系统会产生一个软中断,线程再次被唤醒时会检查APC队列执行所有APC函数。_KAPC_STATE.KernelApcPending为1则调用 KiDeliverApc 执行APC函数,执行完再循环遍历。用户APC:由应用程序产生,在内核、用户层切换时使用不同栈。
APC实现DLL注入
十年磨一剑,霜刃未曾试!
01-19 2597
#include #include int InjectDllWithApc(char DllFullPath[MAX_PATH], ULONG pid ) { HANDLE hProcess,hThread,hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32 = {0} ; HMODULE hDll = GetM
x64内存读写驱动
03-27
标题中的“x64内存读写驱动”指的是一个专为64位(x64架构)操作系统设计的驱动程序,它的主要功能是允许程序在内存中进行读取和写入操作。这种驱动通常用于游戏修改、调试或者性能优化场景,因为它们能够绕过应用...
[分享]两种强力读写内存的方法(可过某游戏代理商的保护).pdf
08-23
根据提供的文档内容,本文将详细解析两种用于强力读写内存的方法,这些方法旨在绕过某些游戏代理商所实施的保护机制。这两种方法分别是:利用目标线程插入APC(Asynchronous Procedure Call,异步过程调用)进行内存...
.注入的基本原理是内存注入加执行shell code的方式。 2.通过找到重定位shell code的方式,实现注入。 01:52 内核 APC劫持 1.内核APC劫持是通过插一个内核APC来实现用户模式的执行。 2.内核APC在内核模式执行,可以修改RIP和RBP。 03:29 实验环境和兼容性说明 1.实验仅兼容Windows 10及以后版本,不支持Windows 7。 2.Windows 7不兼容的原因包括隐藏内存和导出函数的问题。 07:37 导入导出函数和日志记录 1.引入必要的头文件和导出函数。 2.使用log宏记录错误信息。 09:33 设置APC函数 1.设置APC函数,参数包括进程ID和注入路由。 2.函数内部实现包括获取线程、插入APC等步骤。 18:34 创建和插入APC 1.创建APC,使用no configure put和size of APC。 2.判断APC是否成功创建,并关闭句柄。1.成功执行内核APC,确认PID为5916,TID为4988。 2.通过主线程注入APC,验证内核APC的执行过程。 04:04 寻找KTRAP_FRAME的方法 1.利用堆栈布局寻找KTRAP_FRAME,确保全系统兼容性。 2.通过initial stack、TSS、KPCRB等方式寻找KTRAP_FRAME。 3.选择initial stack方法,因其位置偏移在所有系统上一致。 06:55 获取Initial Stack的方法 1.使用PsGetCurrentProcess()获取current process。 2.通过initial stack减去KTRAP_FRAME大小找到KTRAP_FRAME。 3.验证找到的KTRAP_FRAME是否正确,通过修改地址并断点验证。 11:06 蓝屏问题的解决 1.在尝试修改KTRAP_FRAME时遇到蓝屏问题。 2.通过调试确认蓝屏原因,发现RKL过高导致问题。 3.调整RKL值并重新测试,确认问题解决。.在驱动中申请内存,直接使用 ZwAllocateVirtualMemory 函数。 2.申请内存前需要隐藏 PID 和分配大小。 3.定义函数 Ta,传入 PID 和分配大小。 4.调用 PsLookupProcessById 和 ZwAllocateVirtualMemory。 06:34 读写文件操作 1.读写文件操作使用 ZwGetFileBuffer 函数。 2.传入文件名、二级指针和文件大小。 3.初始化 Unicode 字符串表示文件名。 4.使用 ZwCreateFile 创建文件句柄。 5.查询文件信息,获取文件大小。 6.根据文件大小申请内存,并读取文件内容到内存中。 7.使用 ZwReadFile 读取文件内容。 8.读取完成后,使用 ZwClose 和 ZwFlushBuffersFile 关闭文件并释放内存。该视频主要讲述了完善APC注入的shell code的过程。首先,复制了之前编写的shell code,并强调了其稳定性和参数填写的必要性。接着,提到了在使用share code时需要注意关闭一些安全检查和防护流保护,以确保代码能够正常生成。然后,复制了manual mapping data和函数指针,并补充了缺少的nt image和重定位标志。最后,通过复制和修改代码,解决了hit memory和文件映射的问题,完成了shell code的完善工作。 分段总结 00:12 ShellCode编写与K_routine修改实验完成 1.完善apc注入的shell code,通过复制已有的shell code作为基础。 2.介绍修改K_routine的步骤,包括关闭安全检查和防护流保护等。 3.通过链接器设置增量链接,确保shell code的正确生成和注入。 4.复制必要的函数指针和图像文件,以支持shell code的执行。 5.通过重定位和标志复制,完成shell code的最终准备。 08:17 ShellCode注入与测试 1.介绍注入shell code的过程,包括手动映射数据和设置APC。 2.提供注入参数的设置方法,包括调用名、路径、PID等。 3.通过复制和修改内核实验中的hit memory代码,实现内存注入申请。 4.详细讲解shell code的执行流程,包括寄存器保存、堆栈对齐和重定位数据的传递。 5.测试注入的shell code,确保其能在目标系统中正确执行。 28:22 ShellCode稳定性与商用考虑 1.讨论shell code的稳定性,以及在商用环境中的应用考虑。 2.建议在使用shell code后及时卸载,以避免被检测到使用过期签名。 3.介绍在商用环境中,通过事件和单对象等待函数来确保注入的稳定性和安全性。1.实验目的:实现无驱动附加的读写功能,验证无需读写技术的可行性。 2.实验原理:通过修改内存指令,实现无驱动的读写操作。 3.实验环境:Windows操作系统,WinDbg调试工具。这个是无驱注入。你看看能不能无驱
最新发布
07-22
- 使用`VirtualAllocEx`在目标进程中申请可读写内存(通常为PAGE_READWRITE)。 - 申请的内存用于存储DLL路径字符串。 - **文件操作**: - 不需要在目标进程内进行文件读写,而是将DLL的完整路径写入目标进程的...
PHP APC缓存配置、使用详解
12-18
2. **用户数据缓存**:用户可以在PHP代码中使用`apc_store`和`apc_fetch`函数进行自定义数据的读写操作。对于小规模的数据存储,这是一个可行的选择;但如果是大规模数据,建议使用更专业的内存缓存服务,如...
线程附加跟APC有什么关系
07-01
Kernel->>B: 插入APC队列 B->>Kernel: 执行APC(IRQL=0) Kernel->>B: 切换CR3寄存器 Kernel->>B: 更新ApcState B-->>A: 附加完成 ``` --- ### 调试场景中的典型应用 调试器附加到目标进程: ```c // 调试器...
APC注入实现代码
07-30
纯Ring0 + Ring3 交互
探索Kernel-Special-APC-ReadProcessMemory: 深入Windows内核的安全工具
gitblog_00053的博客
04-05 414
探索Kernel-Special-APC-ReadProcessMemory: 深入Windows内核的安全工具 是一个开源项目,专注于在Windows操作系统中进行内核级编程和调试。该项目提供了一种方法,通过特殊调度例程(Special APC)和ReadProcessMemory API来访问并读取目标进程的内存。本文将探讨其技术原理、应用场景及独特之处,以鼓励更多的开发者和安全研究人员探索这...
windows内核学习之APC队列得插入过程
windows小菜鸡的博客
11-30 276
内核中通过给线程插apc注入dll
sgzwiz的专栏
03-03 7944
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
内核APC&用户APC详解
hongduilanjun的博客
09-14 1054
比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不是原来的位置,那就意味着必须要修改EIP为新的返回位置。那原来的值怎么办呢?结构,这里当APC是内核APC的时候存储的是真正的APC地址,当APC是用户APC的时候存储的是指向用户APC的总入口。然后修改eip,这里永远返回一个固定的位置,但是这个位置在每次系统启动的时候都不相同,存放在3环的。当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存器,栈的位置等等 (里面存储的是内核APC的地址还是APC的的总入口,然后再跳转。
【Windows原理】异步IO-_APC(异步过程调用)
Sven的忘却日记
06-10 890
// 同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中 // 阻塞住. // 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住 // 但是异步IO要完成这样的特性是有一点付出的 // 异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. // 这里讲的是第三个方式, 通过设置IO完成函数来处理已完成的IO任...
4.内核APC执行过程
My classmates
10-24 1857
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
关于APC
tian_wen的专栏
04-05 712
APC,异步过程调用。 APC是线程相关的,每个线程都有自己独自的APC链表,因此可以让一段代码在指定的线程上下文中运行。系统中有两种APC,用户层和内核层APC. 应用: APC被知道的最多的应用应该是对一些异步操作的支持,如ReadFile的异步方式等。以ReadFile为例,文件系统发现这是一个异步调用,就会标记为Pending,然后立刻返回。等读取操作完成的时候,在将结果拷贝到用户层的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值