APC注入
APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理(WaitForSingObjectEx,SleepEx)
如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。
APC有两种存在形式:
1.为系统和驱动生成的APC(内核APC)
2.为应用程序生成的APC(用户APC)
用户模式:
线程可利用QueueUserAPC排入一个让远程线程调用的函数,QueueUser函数的参数 pfnAPC,hThread,dwDate用法如下:
一旦获取了线程ID,就可以利用其打开句柄,通过参数LoadLibaryA以及对应参数dwData(dll名称),LoadLibaryA就会被远程线程调用, 从而加载对应的恶意DLL
内核模式:
需要两个函数来搭配使用,构造APC函数
KeInitializeAPC(初始化KAPC结构)
KeInsertQueueAPC(将APC对象放入目标线程的APC对列中)