APC,即Asynchronous procedure call,异步程序调用
APC注入的原理是:
在一个进程中,当一个执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断,当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数,利用QueueUserAPC()这个API,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,

注入流程:
1.根据进程名称得进程ID
2.枚举该进程中的线程
3.将自己的函数插入到每个线程的APC队列中

#include "stdafx.h"

#include <windows.h>

#include <Tlhelp32.h>

#include <iostream>

#include <stdio.h>

#include <stdlib.h>

using namespace std;

typedef struct _THREADLIST

{

     DWORD dwThreadId;

    _THREADLIST *pNext;

}THREADLIST;

int q = ;

DWORD GetProcessID(const char *szProcessName);

int EnumThreadID(DWORD dwPID, THREADLIST * pdwTidList);

THREADLIST* InsertThreadId(THREADLIST *pdwTidListHead, DWORD dwTid);

DWORD Inject(HANDLE hProcess, THREADLIST *pThreadIdList);

int main()

{

    THREADLIST *pThreadIdHead = NULL;

    pThreadIdHead = (THREADLIST *)malloc(sizeof(THREADLIST));

    if (pThreadIdHead == NULL)

    {

        printf("申请失败");

        return ;

    }

    //ZeroMemory是美国微软公司的软件开发包SDK中的一个宏。 其作用是用0来填充一块内存区域

    ZeroMemory(pThreadIdHead, sizeof(THREADLIST));

    DWORD dwProcessID = ;

    if ((dwProcessID = GetProcessID("explorer.exe")) == )

    {

        printf("进程ID获取失败!\n");

        return ;

    }

    EnumThreadID(dwProcessID, pThreadIdHead);

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID);

    if (hProcess == NULL)

    {

        printf("打开进程失败");

        return ;

    }

    Inject(hProcess, pThreadIdHead);

    cout<<q;

    getchar();

    getchar();

    return ;

}

DWORD GetProcessID(const char *szProcessName)

{

    //PROCESSENTRY32这个宏在<Tlhelp32.h>中

    PROCESSENTRY32 pe32 = {  };

    pe32.dwSize = sizeof(PROCESSENTRY32);

    //创建线程快照

    HANDLE SnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

    if (SnapshotHandle == INVALID_HANDLE_VALUE)

    {

        return ;

    }

    if (!Process32First(SnapshotHandle, &pe32))

    {

        return ;

    }

    do

    {

        if (!_strnicmp(szProcessName, pe32.szExeFile, strlen(szProcessName)))

        {

            printf("%s的PID是:%d\n", pe32.szExeFile, pe32.th32ProcessID);

            return pe32.th32ProcessID;

        }

        //Process32Next是一个进程获取函数,当我们利用函数CreateToolhelp32Snapshot()获得当前运行进程的快照后, 我们可以利用Process32Next函数来获得下一个进程的句柄

    } while (Process32Next(SnapshotHandle, &pe32));

    return ;

}

int EnumThreadID(DWORD dwPID, THREADLIST * pdwTidList)

{

    int i = ;

    THREADENTRY32 te32 = {  };

    te32.dwSize = sizeof(THREADENTRY32);

    HANDLE SnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwPID);

    if (SnapshotHandle != INVALID_HANDLE_VALUE)

    {

        if (Thread32First(SnapshotHandle, &te32))

        {

            do

            {

                if (te32.th32OwnerProcessID == dwPID)

                {

                    if (pdwTidList->dwThreadId == )

                    {

                        pdwTidList->dwThreadId = te32.th32ThreadID;

                    }

                    else

                    {

                        if (NULL == InsertThreadId(pdwTidList, te32.th32ThreadID))

                        {

                            printf("插入失败!\n");

                            return ;

                        }

                    }

                }

            } while (Thread32Next(SnapshotHandle, &te32));

        }

    }

    return ;

}

THREADLIST* InsertThreadId(THREADLIST *pdwTidListHead, DWORD dwTid)

{

    THREADLIST *pCurrent = NULL;

    THREADLIST *pNewMember = NULL;

    if (pdwTidListHead == NULL)

    {

        return NULL;

    }

    pCurrent = pdwTidListHead;

    while (pCurrent != NULL)

    {

        if (pCurrent->pNext == NULL)

        {

            // 定位到链表最后一个元素

            pNewMember = (THREADLIST *)malloc(sizeof(THREADLIST));

            if (pNewMember != NULL)

            {

                pNewMember->dwThreadId = dwTid;

                pNewMember->pNext = NULL;

                pCurrent->pNext = pNewMember;

                return pNewMember;

            }

            else

            {

                return NULL;

            }

        }

        pCurrent = pCurrent->pNext;

    }

    return NULL;

}

DWORD Inject(HANDLE hProcess, THREADLIST *pThreadIdList)

{

    THREADLIST *pCurrentThreadId = pThreadIdList;

    const char szInjectModName[] = "需要加载的自己的动态库路径";

    DWORD dwLen = strlen(szInjectModName) + ;

    PVOID param = VirtualAllocEx(hProcess,

        NULL, dwLen, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

    UINT_PTR LoadLibraryAAddress = (UINT_PTR)GetProcAddress(GetModuleHandle("Kernel32.dll"), "LoadLibraryA");

    if (param != NULL)

    {

        SIZE_T dwRet;

        if (WriteProcessMemory(hProcess, param, (LPVOID)szInjectModName, dwLen, &dwRet))

        {

            while (pCurrentThreadId)

            {

                HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentThreadId->dwThreadId);

                if (hThread != NULL)

                {

                     //注入DLL到指定进程

                    QueueUserAPC((PAPCFUNC)LoadLibraryAAddress, hThread, (ULONG_PTR)param);

                    printf("OK\r\n");

                    q++;

                }

                printf("ThreadID:%d\n", pCurrentThreadId->dwThreadId);

                pCurrentThreadId = pCurrentThreadId->pNext;

            }

        }

    }

    return ;

}

如果OpenProce或者OpenThread失败,可以尝试提权,或者给UAC,以管理员身份启动。

不过我个人觉得,这个方法不是每次都能成功,只有线程多的进程,才比较容易成功。win7 测试成功,Win10不是每次成功。

另外没有提供删除APC队列中函数的方法,所以不能反复注入。

Dll注入:Ring3 层 APC注入的更多相关文章

  1. Dll注入技术之APC注入

    APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx( ...

  2. 注入理解之APC注入

    近期学习做了一个各种注入的MFC程序,把一些心得和体会每天分享一些 APC(Asynchronous procedure call)异步程序调用,在NT中,有两种类型的APCs:用户模式和内核模式.用 ...

  3. Windows x86/ x64 Ring3层注入Dll总结

    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...

  4. 分析恶意驱动(进程启动apc注入dll)

    一.前言  用IDA也有好些时间了,以前就只会用F5功能玩无壳无保护的裸驱动,感觉太坑了,这两天就开始看网上大牛的逆向. 今天记录一下sudami曾经逆向过的fuck.sys.第一遍自己走的时候漏掉了 ...

  5. DLL注入-APC注入

    APC注入 APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到Sl ...

  6. APC注入

    0X01 注入原理 当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的 具体的流程: 1 当EXE里的某个线程执行到sleepEX(),或者waitF ...

  7. 常见注入手法第二讲,APC注入

    常见注入手法第二讲,APC注入 转载注明出处 首先,我们要了解下什么是APC APC 是一个简称,具体名字叫做异步过程调用,我们看下MSDN中的解释,异步过程调用,属于是同步对象中的函数,所以去同步对 ...

  8. DEDECMS数据库执行原理、CMS代码层SQL注入防御思路

    我们在上一篇文章中学习了DEDECMS的模板标签.模板解析原理,以及通过对模板核心类的Hook Patch来对模板的解析流量的攻击模式检测,达到修复模板类代码执行漏洞的目的 http://www.cn ...

  9. Dll注入:注册表注入

    在系统中每一个进程加载User32.dll时,会受到DLL_PROCESS_ATTACH通知,当User32.dll对其进行处理时,会取得注册表键值HKEY_LOCAL_MACHINE\Softwar ...

随机推荐

  1. Boost Python学习笔记(五)

    你将学到什么 在C++中调用Python代码时的返回值问题 基础类型 修改Python脚本(build/zoo.py) def rint(): return 2 def rstr(): return ...

  2. Go:表驱动单元测试

    Go:表驱动单元测试 单元测试相当的重要,这几天实习由于单元测试没写好所以被骂了emmm 痛定思痛,立刻上网学习了一下,总算达到了预期的效果,所以写一篇文章记录一下 首先安装gotests $go g ...

  3. ARC085F(动态规划,线段树)

    #include<bits/stdc++.h>using namespace std;const int maxn = 0x3f3f3f3f;int mn[801000];int cost ...

  4. smix到底是个啥?Perl的正则表达式匹配模式

    最近在研究一个perl项目,临时学习了一下perl语法,强行看项目源码.因为总是见到各种正则表达式后面接smxi之类,虽然知道是匹配模式,但脑子里毫无概念.所以特地去学习了一下. 以上为背景. Per ...

  5. Docker 容器的数据卷

    数据卷的特点: 1. 数据卷在容器启动时初始化,如果容器使用的镜像在挂载点包含了数据,这些数据会拷贝到新初始化的数据卷中 2. 数据卷可以在容器之间共享和重用 3. 可以对数据卷里的内容直接进行修改 ...

  6. UML——再回首

    概述     在画图的过程中,发现自己还是有好多不懂的地方,对于四大关系理解的不是特别透彻,所以画图的过程中总是"剪不断,理还乱!"再一次整理四大关系,再回首必然丰收~~~ 1.实 ...

  7. CF10D/POJ2127 LCIS解题报告

    题目传送门(洛谷)(CF)(POJ) 前言 期末考试前的最后一篇题解,希望期末考  rp++ 奇怪,为什么在CF上能过的代码到POJ上就 听取WA声一片  (不管了) 题目思路 LCIS模版O(n²) ...

  8. POJ1021 2D-Nim

    题目来源:http://poj.org/problem?id=1021 题目大意: 有一种在棋盘上玩的游戏,每一步,一个玩家可以从棋盘上拿走连续行或列的棋子.谁拿到最后一颗棋子就胜利.如下图所示的棋盘 ...

  9. python基本数据类型练习

    一.元素分类# 有如下值集合 [11,22,33,44,55,66,77,88,99,90...],将所有大于 66 的值保存至字典的第一个key中,将小于 66 的值保存至第二个key的值中.# 即 ...

  10. C# Repeater 嵌套

    <table class="table table-bordered table-fixed"> <thead> <tr> <th wid ...