1 // APCInject.cpp : 定义控制台应用程序的入口点。

  2 //

  3

  4 #include "stdafx.h"

  5 #include "APCInject.h"

  6

  7 #include <windows.h>

  8 #include <TlHelp32.h>

  9

 10 #include <iostream>

 11 #include <string>

 12

 13

 14

 15 #define _WIN32_WINNT 0x0400

 16

 17 #define DEF_BUF_SIZE 1024

 18

 19

 20 #ifdef _DEBUG

 21 #define new DEBUG_NEW

 22 #endif

 23

 24

 25 // 唯一的应用程序对象

 26

 27 CWinApp theApp;

 28

 29 using namespace std;

 30

 31

 32 typedef long(__fastcall *pfnRtlAdjustPrivilege64)(ULONG, ULONG, ULONG, PVOID);

 33 pfnRtlAdjustPrivilege64 RtlAdjustPrivilege;

 34 BOOL InjectModuleToProcessById(DWORD dwProcessId);

 35 // 用于存储注入模块DLL的路径全名

 36 char szDllPath[DEF_BUF_SIZE] = { 0 };

 37 int main()

 38 {

 39     int nRetCode = 0;

 40     // 取得当前工作目录路径

 41     GetCurrentDirectoryA(DEF_BUF_SIZE, szDllPath);

 42

 43     // 生成注入模块DLL的路径全名

 44     strcat(szDllPath, "\\MessageBox32.dll");

 45

 46     DWORD dwProcessId = 0;

 47     // 接收用户输入的目标进程ID

 48     while (cout << "请输入目标进程ID:" && cin >> dwProcessId && dwProcessId > 0)

 49     {

 50         BOOL bRet = InjectModuleToProcessById(dwProcessId);

 51         cout << (bRet ? "注入成功!" : "注入失败!") << endl;

 52     }

 53

 54     return nRetCode;

 55 }

 56

 57

 58

 59 // 使用APC机制向指定ID的进程注入模块

 60 BOOL InjectModuleToProcessById(DWORD dwProcessId)

 61 {

 62     DWORD    dwRet = 0;

 63     BOOL    bStatus = FALSE;

 64     LPVOID    lpData = NULL;

 65     UINT    uLen = strlen(szDllPath) + 1;

 66     LPTHREAD_START_ROUTINE FuncAddress = NULL;

 67     DWORD dwRetVal = 0;

 68 #ifdef _WIN64   // x64 OpenProcess提权操作

 69     //RtlAdjustPrivilege = (pfnRtlAdjustPrivilege64)GetProcAddress((HMODULE)(FuncAddress(L"ntdll.dll")), "RtlAdjustPrivilege");

 70

 71     //if (RtlAdjustPrivilege == NULL)

 72     //{

 73     //    return FALSE;

 74     //}

 75     ///*

 76     //.常量 SE_BACKUP_PRIVILEGE, "17", 公开

 77     //.常量 SE_RESTORE_PRIVILEGE, "18", 公开

 78     //.常量 SE_SHUTDOWN_PRIVILEGE, "19", 公开

 79     //.常量 SE_DEBUG_PRIVILEGE, "20", 公开

 80     //*/

 81     //RtlAdjustPrivilege(20, 1, 0, &dwRetVal);  //19

 82 #endif

 83                                               // 打开目标进程

 84     HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);

 85     if (hProcess)

 86     {

 87         // 分配空间

 88         lpData = VirtualAllocEx(hProcess, NULL, uLen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

 89         if (lpData)

 90         {

 91             // 写入需要注入的模块路径全名

 92             bStatus = WriteProcessMemory(hProcess, lpData, szDllPath, uLen, NULL);

 93         }

 94         CloseHandle(hProcess);

 95     }

 96

 97     if (bStatus == FALSE)

 98         return FALSE;

 99

100     // 创建线程快照

101     THREADENTRY32 te32 = { sizeof(THREADENTRY32) };

102     HANDLE hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);

103     if (hThreadSnap == INVALID_HANDLE_VALUE)

104         return FALSE;

105

106     bStatus = FALSE;

107     // 枚举所线程

108     if (Thread32First(hThreadSnap, &te32))

109     {

110         do {

111             // 判断是否目标进程中的线程

112             if (te32.th32OwnerProcessID == dwProcessId)

113             {

114                 // 打开线程

115                 HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, te32.th32ThreadID);

116                 if (hThread)

117                 {

118                     // 向指定线程添加APC

119                     DWORD dwRet = QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)lpData);

120                     if (dwRet > 0)

121                         bStatus = TRUE;

122                     CloseHandle(hThread);

123                 }

124             }

125

126         } while (Thread32Next(hThreadSnap, &te32));

127     }

128

129     CloseHandle(hThreadSnap);

130     return bStatus;

131 }

Inject-APC (Ring3)的更多相关文章

  1. 【webpack系列】从零搭建 webpack4+react 脚手架(四)

    经过三个章节的学习,你已经学会搭建了一个基于webpack4的react脚手架.如果要更改配置,比如,你希望把编译后的js文件和css文件等单独放dist下的static目录下,你想想,是不是有点麻烦 ...

  2. 一个Unix内核级别漏洞(一)

    翻译原创稿件,prison整理翻译,首发ichunqiu,原地址:http://lsd-pl.net/kernelvuln.pdf 这是一篇关于Unix内核级别漏洞的paper,由某团队发布在一次黑客 ...

  3. [转帖]select提高并发,select和poll、epoll的区别(杂)

    同步IO和异步IO,阻塞IO和非阻塞IO分别是什么,到底有什么区别?不同的人在不同的上下文下给出的答案是不同的.所以先限定一下本文的上下文. https://www.2cto.com/kf/20161 ...

  4. APC注入(Ring3层)

    /* 步骤: 1.提权(GrantDebugPrivileges) (1)获得令牌token,OpenThreadToken(),OpenProcessToken () WINADVAPI BOOL ...

  5. (转载)APC支持php5.4了

    (转载)http://www.neatstudio.com/archives/?article-2061.html 时隔一年多,APC终于又更新了,这次更新最大的就是支持PHP5.4:- Add PH ...

  6. Android so注入(inject)和Hook技术学习(三)——Got表hook之导出表hook

    前文介绍了导入表hook,现在来说下导出表的hook.导出表的hook的流程如下.1.获取动态库基值 void* get_module_base(pid_t pid, const char* modu ...

  7. Android so注入(inject)和Hook技术学习(二)——Got表hook之导入表hook

    全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数. GOT表其实包含了 ...

  8. APC注入(Ring3)

    首先简单介绍一下APC队列和Alertable. 看看MSDN上的一段介绍(https://msdn.microsoft.com/en-us/library/ms810047.aspx): The s ...

  9. 高特权级代码段转向低特权级代码段(利用 ret(retf) 指令实现 jmp from ring0 to ring3)

    [0]写在前面 0.1)本代码旨在演示 从 ring0 转移到 ring3(即,从高特权级 转移到 低特权级) 0.2)本文 只对 与 门相关的 代码进行简要注释,言简意赅: 0.3)文末的个人总结是 ...

随机推荐

  1. 双线性插值算法的FPGA实现

    本设计预实现720P到1080P的图像放大,输入是YUV444数据,分量像素位宽为10bit,采用的算法为双线性插值法,开发平台是xiinx K7开发板. 双线性插值法即双次线性插值,首先在横向线性插 ...

  2. java课堂考试总结

    9月22日,进行了开学第一堂的java测试,来检验暑假的自学成果.下午的考试中,时间应该是比较充分的,但是我还是有许多功能模块没有完成,功能缺少,在进行测试的时候暴露出了许多漏洞. 总结一下,在暑假的 ...

  3. Spring boot+Mybatis+MySQL插入中文乱码

    转载:https://www.jianshu.com/p/bd0311a33c16 现象: 搭建spring boot+mybatis+mysql时出现插入mysql的中文出现乱码???.   mys ...

  4. 字典get方法和setdesault方法,统计message中各元素的出现频次

    message= 'There are moments in life when you miss someone so much that you just want to pick them fr ...

  5. vuejs第一集之:vuejs了解

    1,了解到前后端分离2,连接到vuejs3,搜集书籍: Vuejs前端开发基础与项目实战 (https://detail.tmall.com/item.htm?spm=a230r.1.14.107.6 ...

  6. 华为视频编辑服务(Video Editor Kit),助力开发者高效构建应用视频编辑能力

    视频编辑服务(Video Editor Kit)是华为开放给开发者快速构建视频编辑能力的服务,提供视频导入.编辑处理.特效渲染.视频导出.媒体资源管理等一站式视频处理能力.视频编辑服务为全球开发者提供 ...

  7. 【阅读笔记】Java核心技术卷一 #1.Chapter3

    3 Java的基本程序设计结构 3.1 一个简单的 Java 应用程序(略) 3.2 注释(略) 3.3 数据类型 8种基本类型 byte,short,int,long float,double ch ...

  8. js学习笔记之日期倒计时DOM操作

    1.访问html元素 getElementById() 方法  返回对拥有指定 id 的第一个对象的引用,只有dom对象有效 getElementsByName() 方法  返回指定名称的对象集合 g ...

  9. H5页面怎么跳转到公众号主页?看过来

    前言: 做公众号开发的小伙伴,可能会遇到这种需求: 在一个H5页面点击一个关注公众号按钮跳转到公众号主页. 听到这个需求的一瞬间,疑惑了!这不可能! 摸了摸高亮的额头!没办法,做还是要做的 开始上解决 ...

  10. 获取不到自定义的request的header属性

    java获取headers的代码如下: // 获取http-header里面对应的签名信息 Enumeration<?> headerNames = request.getHeaderNa ...