APC注入

APC注入技术解析
最新推荐文章于 2024-09-22 14:56:36 发布
转载 最新推荐文章于 2024-09-22 14:56:36 发布 · 865 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Tempt/p/9988232.html
文章标签:

#c#

本文深入探讨了APC注入技术,介绍了APC如何允许线程在正常执行前运行额外代码,分为内核APC和用户APC两种形式。在用户模式下,QueueUserAPC可用于远程线程调用,加载恶意DLL;内核模式下,则涉及KeInitializeAPC和KeInsertQueueAPC函数。文章详细阐述了这两种模式下的具体操作。
APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理(WaitForSingObjectEx,SleepEx)
如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。
APC有两种存在形式:
1.为系统和驱动生成的APC(内核APC)
2.为应用程序生成的APC(用户APC)
 
用户模式:
   线程可利用QueueUserAPC排入一个让远程线程调用的函数,QueueUser函数的参数 pfnAPC,hThread,dwDate用法如下:
一旦获取了线程ID,就可以利用其打开句柄,通过参数LoadLibaryA以及对应参数dwData(dll名称),LoadLibaryA就会被远程线程调用, 从而加载对应的恶意DLL
 
内核模式:

 

需要两个函数来搭配使用,构造APC函数
KeInitializeAPC(初始化KAPC结构)
KeInsertQueueAPC(将APC对象放入目标线程的APC对列中)

 

转载于:https://www.cnblogs.com/Tempt/p/9988232.html

APC注入(QueueUserAPC)--Ring3
KOOKNUT的博客
05-19 1384
APC英文全称(Asynchronous Procedure Call),我们一般译为异步过程调用。它是一种Windows的软中断机制,一般分为两种: 内核APC:由系统产生的APC。 用户APC:由应用层程序产生的APC。 当一个线程从等待状态(线程调用SleepEx、SignalObjectAndWait、WaitForSingleObjectEx、WaitForMultipleObjectsEx等函数是会进入可唤醒状态)中苏醒时,线程会检查有没有APC需要去执行,如果有APC,则去执行这些异步过程
APC注入测试源码C++
12-19
一个对APC注入进行学习测试的例子,可以在用户态下执行。但是对系统进程仍无法进行注入,不清楚是权限问题还是其他的问题。 工程在vs2012下编译测试成功。 共有三个工程 1、ApcInject 实现Apc注入功能 2、InjectTest 被注入的程序,点击确定->start后,进入sleep,线程进入Alertable状态。此时可以对线程的APC队列进行插入。 3、testdll 注入到InjectTest.exe中的dll,成功加载后弹出一个对话框。
注入技术之APC注入
whs100505的博客
02-10 862
APC注入 原理:每个线程都有一个APC队列,当调用SleepEx,SignalObjectAndWait,WaitForSingleObjectEx,WaitForMultipleObjectsEx或MsgWaitForMultipleObjectsEx进入警报状态时,系统会遍历该线程的APC,按照先进先出的顺序执行APC。 #include <Windows.h> bool AP...
易语言移植的APC注入源码
06-06
易语言移植的APC注入源码是一个涉及到Windows操作系统编程、进程通信和恶意代码技术的知识点。APC(Asynchronous Procedure Call)是Windows API提供的一种异步处理机制,常用于线程间的通信。在易语言中实现APC注入...
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统中实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
易语言移植的APC注入
07-22
在这个场景中,"易语言移植的APC注入"指的是将APC注入技术应用到易语言的环境中,使得开发者能够利用易语言编写相关的注入程序。 APC注入的基本原理是通过系统调用,将一个函数(通常是一个DLL中的函数)添加到另一...
易语言移植的APC注入源码-易语言
06-13
"易语言移植的APC注入源码"是一个针对易语言的高级教程,主要涉及到Windows系统编程中的异步过程调用(Asynchronous Procedure Calls, APC)技术。 APC是Windows操作系统内核中的一种机制,它允许在用户模式下的...
APC注入实现代码
07-30
纯Ring0 + Ring3 交互
DLL注入-APC注入
天使也掉毛
11-25 5816
DLL注入-APC注入
第五章 进程注入APC注入(附源码)
test\\的博客
12-01 2598
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程的APC队列中。
进程注入系列一之APC注入
weixin_46539164的博客
04-28 3956
什么是APC APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。 MSDN解释为: 相关函数 QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列中 APCproc:函数作用: 回调函数的写法. 核心函数 QueueUserAPC DWORD QueueUserAPC( PAPCFUNCpfnAPC, // APC function HANDLEhT
初识APC机制&实现APC注入
最新发布
dreamer292的博客
09-22 2041
其实就是一种骚姿势进行的DLL注入,而且动静比之前的小,又已经在运行的线程来回调插入到APC队列中的恶意DLL。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值