系统产生一个软中断,当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数,利用QueueUserAPC()这个API,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,

1.根据进程名称得进程ID
2.枚举该进程中的线程
3.将自己的函数插入到每个线程的APC队列中


  1 // APCInject(Ring3).cpp : 定义控制台应用程序的入口点。

 //

 #include "stdafx.h"

 #include <windows.h>

 #include <TlHelp32.h>

 #include <ntstatus.h>

 #include <vector>

 #include <iostream>

 using namespace std;

 /*

 Win7下成功 Win10不一定成功(编译对应的位数,管理员身份运行)

 Win7要将倒着插入!!

 要将DLL拷到.cpp的文件夹中

 尽量选择线程多的exe 

 另外没有提供删除APC队列中函数的方法,所以不能反复注入。

 */

 WCHAR    __DllFullPath[MAX_PATH] = {  };

 PVOID    __DllFullPathBufferData = NULL;

 UINT_PTR __LoadLibraryWAddress = ;

 //typedef void(*pfnSub_110)();

 BOOL GetProcessIDByProcessImageName(IN PWCHAR ProcessImageName, OUT PUINT32 ProcessID);

 BOOL GetThreadIDByProcessID(IN UINT32 ProcessID, OUT vector<UINT32>& ThreadIDVector);

 BOOL InjectDllByApc(IN UINT32 ProcessID, OUT UINT32 ThreadID);

 BOOL DebugPrivilege(WCHAR * DebugName, BOOL bEnable);

 int main()

 {

     if (DebugPrivilege(SE_DEBUG_NAME, TRUE)==FALSE)

     {

         printf("DebugPrivilege Error\r\n");

     }

     GetCurrentDirectory(MAX_PATH, __DllFullPath);

     wcscat(__DllFullPath, L"\\Dll.dll");

     UINT ProcessID = ;

     if (GetProcessIDByProcessImageName(

         L"taskmgr.exe", &ProcessID) == FALSE)

     {

         return ;

     }

     vector<UINT32> ThreadIDVector;

     if (GetThreadIDByProcessID(ProcessID, ThreadIDVector) == FALSE)

     {

         return ;

     }

     size_t ThreadCount = ThreadIDVector.size();

     //每一个线程

     /*

     win7下得倒着注入

     */

     for (INT_PTR i = ThreadCount - ; i >= ; i--)

     {

         UINT32 ThreadID = ThreadIDVector[i];

         InjectDllByApc(ProcessID, ThreadID);

     }

     printf("Input Any Key to Exit\r\n");

     getchar();

     getchar();

     return ;

 }

 BOOL InjectDllByApc(IN UINT32 ProcessID, OUT UINT32 ThreadID)

 {

     HANDLE  ThreadHandle = NULL;

     HANDLE    ProcessHandle = OpenProcess(

         PROCESS_ALL_ACCESS, FALSE, ProcessID);

     SIZE_T  DllFullPathLength = ((wcslen(__DllFullPath) + ));

     SIZE_T        ReturnLength = ;

     BOOL        IsOk = FALSE;

     // 申请一次内存

     if (__DllFullPathBufferData == NULL)

     {

         __DllFullPathBufferData =

             VirtualAllocEx(

                 ProcessHandle,

                 NULL,

                 DllFullPathLength * ,

                 MEM_COMMIT | MEM_RESERVE,

                 PAGE_EXECUTE_READWRITE

             );

         if (__DllFullPathBufferData == NULL)

         {

             CloseHandle(ProcessHandle);

             ProcessHandle = NULL;

             return FALSE;

         }

         IsOk = WriteProcessMemory(

             ProcessHandle,

             __DllFullPathBufferData,

             __DllFullPath,

             DllFullPathLength * ,

             &ReturnLength

         );

         if (IsOk == FALSE)

         {

             VirtualFree(__DllFullPathBufferData,

                 DllFullPathLength * , MEM_RELEASE);

             CloseHandle(ProcessHandle);

             ProcessHandle = NULL;

             return FALSE;

         }

     }

     __LoadLibraryWAddress =

         (UINT_PTR)GetProcAddress(

             GetModuleHandle(L"Kernel32.dll"),

             "LoadLibraryW"

         );

     if (__LoadLibraryWAddress == NULL)

     {

         VirtualFree(

             __DllFullPathBufferData,

             DllFullPathLength * , MEM_RELEASE);

         CloseHandle(ProcessHandle);

         ProcessHandle = NULL;

         return FALSE;

     }

     __try

     {

         ThreadHandle = OpenThread(THREAD_ALL_ACCESS, FALSE, ThreadID);

         DWORD v1 = QueueUserAPC(

             (PAPCFUNC)__LoadLibraryWAddress,

             ThreadHandle,

             (UINT_PTR)__DllFullPathBufferData

         );   //LoadLibraryWAddress("DllFullPathBufferData")

         if (v1 == )

         {

             printf("FAIL %d\r\n", GetLastError());

         }

         else if (v1 != )

         {

             printf("Success\r\n");

         }

     }

     __except (EXCEPTION_CONTINUE_EXECUTION)

     {

     }

     CloseHandle(ProcessHandle);

     CloseHandle(ThreadHandle);

     return TRUE;

 }

 BOOL GetThreadIDByProcessID(IN UINT32 ProcessID, OUT vector<UINT32>& ThreadIDVector)

 {

     HANDLE            ThreadSnapshotHandle = NULL;

     THREADENTRY32    ThreadEntry32 = {  };

     ThreadEntry32.dwSize = sizeof(THREADENTRY32);

     ThreadSnapshotHandle = CreateToolhelp32Snapshot(

         TH32CS_SNAPTHREAD, );

     if (ThreadSnapshotHandle == INVALID_HANDLE_VALUE)

     {

         return FALSE;

     }

     BOOL IsOk = Thread32First(

         ThreadSnapshotHandle, &ThreadEntry32);

     if (IsOk)

     {

         do

         {

             if (

                 ThreadEntry32.th32OwnerProcessID

                 == ProcessID)

             {

                 ThreadIDVector.emplace_back(

                     ThreadEntry32.th32ThreadID);        // 把该进程的所有线程id压入模板

             }

         } while (Thread32Next(

             ThreadSnapshotHandle, &ThreadEntry32)

             );

     }

     CloseHandle(ThreadSnapshotHandle);

     ThreadSnapshotHandle = NULL;

     return TRUE;

 }

 BOOL GetProcessIDByProcessImageName(IN PWCHAR ProcessImageName, OUT PUINT32 ProcessID)

 {

     HANDLE ProcessSnapshotHandle = NULL;

     ProcessSnapshotHandle =

         CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

     if (ProcessSnapshotHandle == INVALID_HANDLE_VALUE)

     {

         return FALSE;

     }

     PROCESSENTRY32 ProcessEntry32 = {  };

     ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);

     BOOL IsOk = Process32First(

         ProcessSnapshotHandle,

         &ProcessEntry32

     );

     if (IsOk)

     {

         do

         {

             if (

                 lstrcmpi(ProcessEntry32.szExeFile,

                     ProcessImageName)==

                 )

             {

                 *ProcessID = ProcessEntry32.th32ProcessID;

                 break;

             }

         } while (Process32Next(

             ProcessSnapshotHandle,

             &ProcessEntry32

         )

             );

     }

     if (*ProcessID==)

     {

         printf("Get ProcessID FAIL! 请打开任务管理器.\r\n");

         return FALSE;

     }

     CloseHandle(ProcessSnapshotHandle);

     ProcessSnapshotHandle = NULL;

     return TRUE;

 }

 BOOL DebugPrivilege(WCHAR * DebugName, BOOL bEnable)

 {

     BOOL              bRet = TRUE;

     HANDLE            TokenHandle;

     TOKEN_PRIVILEGES  TokenPrivileges;

     //进程 Token 令牌

     if (!OpenProcessToken(GetCurrentProcess(),

         TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES, &TokenHandle))

     {

         bRet = FALSE;

         return bRet;

     }

     TokenPrivileges.PrivilegeCount = ;

     TokenPrivileges.Privileges[].Attributes = bEnable ? SE_PRIVILEGE_ENABLED : ;

     LookupPrivilegeValue(NULL, DebugName, &TokenPrivileges.Privileges[].Luid);

     AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), NULL, NULL);

     if (GetLastError() != ERROR_SUCCESS)

     {

         bRet = FALSE;

     }

     CloseHandle(TokenHandle);

     return bRet;

 }

注入 - Ring3 APC注入的更多相关文章

  1. Dll注入:Ring3 层 APC注入

    APC,即Asynchronous procedure call,异步程序调用APC注入的原理是:在一个进程中,当一个执行到SleepEx()或者WaitForSingleObjectEx()时,系统 ...

  2. Windows x86/ x64 Ring3层注入Dll总结

    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...

  3. 分析恶意驱动(进程启动apc注入dll)

    一.前言  用IDA也有好些时间了,以前就只会用F5功能玩无壳无保护的裸驱动,感觉太坑了,这两天就开始看网上大牛的逆向. 今天记录一下sudami曾经逆向过的fuck.sys.第一遍自己走的时候漏掉了 ...

  4. APC注入

    0X01 注入原理 当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的 具体的流程: 1 当EXE里的某个线程执行到sleepEX(),或者waitF ...

  5. 常见注入手法第二讲,APC注入

    常见注入手法第二讲,APC注入 转载注明出处 首先,我们要了解下什么是APC APC 是一个简称,具体名字叫做异步过程调用,我们看下MSDN中的解释,异步过程调用,属于是同步对象中的函数,所以去同步对 ...

  6. 注入理解之APC注入

    近期学习做了一个各种注入的MFC程序,把一些心得和体会每天分享一些 APC(Asynchronous procedure call)异步程序调用,在NT中,有两种类型的APCs:用户模式和内核模式.用 ...

  7. Dll注入技术之APC注入

    APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx( ...

  8. windows:shellcode 代码远程APC注入和加载

    https://www.cnblogs.com/theseventhson/p/13197776.html  上一章介绍了通用的shellcode加载器,这个加载器自己调用virtualAlloc分配 ...

  9. DLL注入-APC注入

    APC注入 APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到Sl ...

随机推荐

  1. CH5701 开车旅行

    题意 5701 开车旅行 0x50「动态规划」例题 描述 小A和小B决定利用假期外出旅行,他们将想去的城市从1到N编号,且编号较小的城市在编号较大的城市的西边,已知各个城市的海拔高度互不相同,记城市 ...

  2. LG3975 [TJOI2015]弦论

    题意 题目描述 为了提高智商,ZJY开始学习弦论.这一天,她在< String theory>中看到了这样一道问题:对于一个给定的长度为n的字符串,求出它的第k小子串是什么.你能帮帮她吗? ...

  3. 每天进步一点点-Java IO操作-Java Serializable(对象序列化)的理解和总结

    往硬盘文件里写数据 序列化:序列化是将对象转换为容易传输的格式的过程.例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象.在另一端,反序列化将从该流重 ...

  4. SolrCore Initialization Failures - Max direct memory is likely too low

    org.apache.solr.common.SolrException:org.apache.solr.common.SolrException: The max direct memory is ...

  5. operator <<”不明确

    在声明重载的输出运算符<< 时,如果声明时的返回类型是std::ostream,而不是std::ostream&,但是定义的时候又加了引用的话,那么就会报“operator < ...

  6. TP5 中引入第三方类库

    通过了解tp5的目录结构,我们知道其中有两个目录是纺织扩展类库文件的. extend是放置自定义或者其他类文件的. vendor目录是放置composer类库文件的. 当我们的第三方类库文件是下载的, ...

  7. 自然语言处理工具hanlp关键词提取图解TextRank算法

    看一个博主(亚当-adam)的关于hanlp关键词提取算法TextRank的文章,还是非常好的一篇实操经验分享,分享一下给各位需要的朋友一起学习一下! TextRank是在Google的PageRan ...

  8. subversion与TortoiseSVN的使用

    Subversion是一个自由开源的版本控制系统.在Subversion管理下,文件和目录可以超越时空.Subversion将文件存放在中心版本库里,这个版本库很像一个普通的文件服务器,不同的是,它可 ...

  9. AI硬件 XPU

    市场对人工智能的热情持续高涨,特别是硬件领域.人工智能将成为下一个大风口,首当其冲的就包括硬件, 在图像语音识别.无人驾驶等人工智能领域的运用层面,图形处理器 (GPU)正迅速扩大市场占比,而谷歌专门 ...

  10. SDI工程时钟路径分析

    SDI工程时钟路径分析 //------------- Receive Ports - RX Fabric Output Control Ports ------------- output rxou ...