[原创]再谈内核层apc注入-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼 1.这个是常识了。。 2.MDL在NT5上还是可执行的，但是到了NT6上就不可执行了~用MDL映射内存的坑一般都是抄老代码抄出来的 2017-1-23 10:22 0
mknanren 雪币： 70 活跃值： (1367) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 69 粉丝 1 关注私信	mknanren 3 楼就是不知道所以掉坑里了 2017-1-23 10:25 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 570 关注私信	hzqst 3 4 楼 3.这个方法多此一举啊还是ZwCreateThreadEx大法好啊 2017-1-23 10:44 0
mknanren 雪币： 70 活跃值： (1367) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 69 粉丝 1 关注私信	mknanren 5 楼因为要插入到指定线程中去所以只想到了apc，ZwCreateThreadEx创建新线程后还是获取不到其它线程teb结构中的东西 2017-1-23 10:52 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼线程TEB结构不可以直接读？看不懂 2017-1-23 13:50 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 570 关注私信	hzqst 3 7 楼获取TEB直接ZwQueryInformationThread + ThreadBasicInformation，THREAD_BASIC_INFORMATION结构里面直接就有TebBaseAddress 2017-1-23 15:25 0
mknanren 雪币： 70 活跃值： (1367) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 69 粉丝 1 关注私信	mknanren 8 楼 soga 谢了我试看看 2017-1-23 17:23 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼根本不需要修改什么UserApcPending域你可以强制delivery APC 方法就是在APC回调函数调用 KeTestAlertThread(UserMode);(win7或以上) xp就用 KeInitializeEvent(&Event,NotificationEvent,FALSE); Timeout.QuadPart = 0LL - 3LL * (10LL * 1000LL* 1000LL); KeWaitForSingleObject(&Event,WrYieldExecution,UserMode, TRUE, &Timeout); KeDelayExecutionThread(KernelMode, FALSE, &Timeout); KeStallExecutionProcessor(1); 2017-1-23 18:41 0
mknanren 雪币： 70 活跃值： (1367) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 69 粉丝 1 关注私信	mknanren 10 楼 KeTestAlertThread 这个函数里面应该也是改变这两个成员变量吧 2017-1-24 10:13 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 11 楼没错 BOOLEAN KeTestAlertThread ( __in KPROCESSOR_MODE AlertMode ) /++ Routine Description: This function tests to determine if the alerted variable for the specified processor mode has a value of TRUE or whether a user mode APC should be delivered to the current thread. Arguments: AlertMode - Supplies the processor mode which is to be tested for an alerted condition. Return Value: The previous state of the alerted variable for the specified processor mode. --/ { BOOLEAN Alerted; KLOCK_QUEUE_HANDLE LockHandle; PKTHREAD Thread; ASSERT(KeGetCurrentIrql() <= DISPATCH_LEVEL); // // Raise IRQL to SYNCH_LEVEL and acquire the thread APC queue lock. // Thread = KeGetCurrentThread(); KeAcquireInStackQueuedSpinLockRaiseToSynch(&Thread->ApcQueueLock, &LockHandle); // // If the current thread is alerted for the specified processor mode, // then clear the alerted state. Else if the specified processor mode // is user and the current thread's user mode APC queue contains an // entry, then set user APC pending. // Alerted = Thread->Alerted[AlertMode]; if (Alerted == TRUE) { Thread->Alerted[AlertMode] = FALSE; } else if ((AlertMode == UserMode) && (IsListEmpty(&Thread->ApcState.ApcListHead[UserMode]) != TRUE)) { Thread->ApcState.UserApcPending = TRUE; } // // Release the thread APC queue lock, lower IRQL to its previous value, // and return the previous alerted state for the specified mode. // KeReleaseInStackQueuedSpinLock(&LockHandle); return Alerted; } 2017-1-29 10:46 0
大梦如故雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	大梦如故 12 楼嗨,猜猜我是谁 2017-1-31 20:14 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 570 关注私信	hzqst 3 13 楼看头像是TA？。。。。。。 2017-1-31 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Morgion

雪币： 608

活跃值： (648)

能力值：

( LV4，RANK：50 )

在线值：

发帖

9

回帖

649

粉丝

5

关注

私信

Morgion 1: 2 楼

1.这个是常识了。。
2.MDL在NT5上还是可执行的，但是到了NT6上就不可执行了~用MDL映射内存的坑一般都是抄老代码抄出来的

2017-1-23 10:22

0

mknanren

雪币： 70

活跃值： (1367)

能力值：

( LV2，RANK：10 )

在线值：

发帖

31

回帖

69

粉丝

1

关注

私信

mknanren: 3 楼

就是不知道所以掉坑里了

2017-1-23 10:25

0

hzqst

雪币： 12848

活跃值： (9147)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1793

粉丝

570

关注

私信

hzqst 3: 4 楼

3.这个方法多此一举啊

还是ZwCreateThreadEx大法好啊

2017-1-23 10:44

0

mknanren

雪币： 70

活跃值： (1367)

能力值：

( LV2，RANK：10 )

在线值：

发帖

31

回帖

69

粉丝

1

关注

私信

mknanren: 5 楼

因为要插入到指定线程中去所以只想到了apc，ZwCreateThreadEx创建新线程后还是获取不到其它线程teb结构中的东西

2017-1-23 10:52

0

xacker

雪币： 522

活跃值： (10)

能力值：

( LV4，RANK：50 )

在线值：

发帖

17

回帖

449

粉丝

0

关注

私信

xacker 1: 6 楼

线程TEB结构不可以直接读？看不懂

2017-1-23 13:50

0

hzqst

雪币： 12848

活跃值： (9147)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1793

粉丝

570

关注

私信

hzqst 3: 7 楼

获取TEB直接ZwQueryInformationThread + ThreadBasicInformation，THREAD_BASIC_INFORMATION结构里面直接就有TebBaseAddress

2017-1-23 15:25

0

mknanren

雪币： 70

活跃值： (1367)

能力值：

( LV2，RANK：10 )

在线值：

发帖

31

回帖

69

粉丝

1

关注

私信

mknanren: 8 楼

soga 谢了我试看看

2017-1-23 17:23

0

iceway

雪币： 19

活跃值： (1086)

能力值：

( LV2，RANK：10 )

在线值：

发帖

88

回帖

813

粉丝

5

关注

私信

iceway: 9 楼

根本不需要修改什么UserApcPending域
你可以强制delivery APC
方法就是在APC回调函数调用 KeTestAlertThread(UserMode);(win7或以上)
xp就用

KeInitializeEvent(&Event,NotificationEvent,FALSE);
Timeout.QuadPart = 0LL - 3LL * (10LL * 1000LL* 1000LL);
KeWaitForSingleObject(&Event,WrYieldExecution,UserMode, TRUE, &Timeout);
KeDelayExecutionThread(KernelMode, FALSE, &Timeout);
KeStallExecutionProcessor(1);

2017-1-23 18:41

0

mknanren

雪币： 70

活跃值： (1367)

能力值：

( LV2，RANK：10 )

在线值：

发帖

31

回帖

69

粉丝

1

关注

私信

mknanren: 10 楼

KeTestAlertThread 这个函数里面应该也是改变这两个成员变量吧

2017-1-24 10:13

0

iceway

雪币： 19

活跃值： (1086)

能力值：

( LV2，RANK：10 )

在线值：

发帖

88

回帖

813

粉丝

5

关注

私信

iceway: 11 楼

没错

BOOLEAN
KeTestAlertThread (
    __in KPROCESSOR_MODE AlertMode
    )

/*++

Routine Description:

    This function tests to determine if the alerted variable for the
    specified processor mode has a value of TRUE or whether a user mode
    APC should be delivered to the current thread.

Arguments:

    AlertMode - Supplies the processor mode which is to be tested
        for an alerted condition.

Return Value:

    The previous state of the alerted variable for the specified processor
    mode.

--*/

{

    BOOLEAN Alerted;
    KLOCK_QUEUE_HANDLE LockHandle;
    PKTHREAD Thread;

    ASSERT(KeGetCurrentIrql() <= DISPATCH_LEVEL);

    //
    // Raise IRQL to SYNCH_LEVEL and acquire the thread APC queue lock.
    //

    Thread = KeGetCurrentThread();
    KeAcquireInStackQueuedSpinLockRaiseToSynch(&Thread->ApcQueueLock,
                                               &LockHandle);

    //
    // If the current thread is alerted for the specified processor mode,
    // then clear the alerted state. Else if the specified processor mode
    // is user and the current thread's user mode APC queue contains an
    // entry, then set user APC pending.
    //

    Alerted = Thread->Alerted[AlertMode];
    if (Alerted == TRUE) {
        Thread->Alerted[AlertMode] = FALSE;

    } else if ((AlertMode == UserMode) &&
              (IsListEmpty(&Thread->ApcState.ApcListHead[UserMode]) != TRUE)) {

        Thread->ApcState.UserApcPending = TRUE;
    }

    //
    // Release the thread APC queue lock, lower IRQL to its previous value,
    // and return the previous alerted state for the specified mode.
    //

    KeReleaseInStackQueuedSpinLock(&LockHandle);
    return Alerted;
}

2017-1-29 10:46

0