易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
查看: 386|回复: 5

讲解内核APC结合内存加载实现无模块注入附源码

[复制链接]
发表于 2018-2-28 11:51:30 | 显示全部楼层 |阅读模式

上一边帖子里回顾了一下内核APC注入,代码有个地方欠妥,就没有选择合适的线程去注入,这里做了如下修改
  1.         if (*(PULONG)((PCHAR)ethreAd + TCB_TEB_OFFSET) != 0 //teb!=0
  2.             && *((PUCHAR)ethreAd + 0x068) == 0x5 //state=5
  3.             && *(PULONG)((PCHAR)ethreAd + 0x06c) == 0 //waitstatus=0
  4.             && (((*(PULONG)((PCHAR)ethreAd + ALERTABLE_OFFSET) >> 5) & 1) == 1)) //alertable=1
  5.         {
  6.             KdPrint(("target ethreAd: 0x%x\n", ethreAd));
  7.             break;
  8.         }
复制代码


因为我们是在进程已经存在的时候注入的,我们需要选择处于等待状态而且可唤醒的线程,但是我们最好不要手动去设置UserApcPending,这样肯定会有问题
  1.         else if ((Thread->State == Waiting) &&
  2.                   (Thread->WaitMode == UserMode) &&
  3.                   (Thread->Alertable || Thread->ApcState.UserApcPending)) {

  4.             Thread->ApcState.UserApcPending = TRUE;
  5.             KiUnwaitThread(Thread, STATUS_USER_APC, Increment);
  6.         }
复制代码


这一段是wrk里一部分插入用户apc的代码,可以看到如过我们找到的线程合适,这里系统会自动设置这个值,而线程返回用户层时在KiServiceExit中系统会检查这个 UserApcPending,如果true才会执行用户apc。如果我们强行吧 UserApcPending置为true线程将会被强制唤醒,唤醒的原因就是STATUS_USER_APC,那么如果这个线程是不能被唤醒的,比方说他在等待另一个线程执行某个操作后才能走下去,那么此时他肯定会崩溃,就是一开始玩apc的时候经常把进程插崩掉的原因之一。另外就是这个waitstatus=0,应该是代表等待成功?这里我也没摸清具体是啥意思,只是在测试的时候这个状态为0的时候注入就没问题,各位老铁知道的话跟我讲讲啊0,0。

文章内容较多,感兴趣的同学,回复后继续学习。。。。

游客,如果您要查看本帖隐藏内容请回复
发表于 2018-5-29 23:11:13 | 显示全部楼层
WIN7下,隐藏隐藏进程之进程链表断链。 [复制链接]
发表于 2018-6-27 00:16:39 | 显示全部楼层
公司名稱:澳门新葡京娱乐场 6777234.com
信    誉:五星         
在線客服:24H服務
最新優惠:立即進入 6777234.com  正在进行中。。。。。。
平台微信号:cfucfu888
优惠活动:开户有惊喜! 优惠大酬宾! 正在进行中。。。。。。
官方提醒:合理安排自己在娱乐中的时间、精力、银两,赚钱工作两不误!
发表于 2018-6-30 14:51:15 | 显示全部楼层
看看后面的内容
发表于 2018-8-8 17:07:17 | 显示全部楼层
RE: 讲解内核APC结合内存加载实现无模块注入附源码 [修改]
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区  |网站地图

GMT+8, 2018-10-16 08:45 易语言论坛 易语言导航

Powered by 看流星社区 X3.2

©2011-2016 最好的辅助编程技术论坛

快速回复 返回顶部 返回列表