04 2016 档案
摘要:这是一个老话题了,推荐一篇文章: http://blog.csdn.net/breaksoftware/article/details/8150476#0-tsina-1-83826-397232819ff9a47a7b7e80a40613cfe1 这里简单画图阐述核心问题所在: 关键在于ntdll
阅读全文
摘要:在使用插User APC注入DLL时,经常面临一个问题,那就是线程必须是处于Alertable模式才能注入成功。但一直对这个Alertable的含义不甚清楚,今天总算是把这个梗消化了。 微软对Alertable与APC的执行关系有详细的描述: https://msdn.microsoft.com/e
阅读全文
摘要:整体过程如下: 需要说明两点: 1.在XP中,新进程主线程的启动,会先执行一个用户态的APC,会执行ntdll!LdrInitializeThunk进行程序执行前的一些列初始化操作。其中很重要任务就是加载从Kernel32.dll开始的系统DLL。注意的是,这个APC的插入,根据WRK中的代码看来是
阅读全文
