[原创]基于Wrk和ReactOS源码分析APC机制的记录-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
ZwTrojan 雪币： 4 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 1 关注私信	ZwTrojan 2 楼初学的能不能问下APC具体是用来干什么的呢,百度了很多还是不太清楚 2018-4-23 23:06 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 3 楼这个参考资料不错，读wrk源码时拿来对比，可节省不少分析时间； apc 是 “异步过程调用” 的首字母缩写，每个内核模式线程都有一个内核模式 apc 队列，因此它执行在特定线程的上下文中，它的交付机制与 APC 中断有关；驱动程序创建的线程经常使用 apc 机制来在 I/O 完成时进行定制的处理；站在内核安全的角度来看，其实我们只需意识到，线程的 KTHREAD 结构关联到其 apc 队列，把 apc 结构中的 KernelRoutine 函数指针设置为 PspExitThread()，就能够终止宿主线程（比如反病毒的），因此 apc 也经常被后门程序、rootkit 用作自我保护机制之一最后于 2018-4-24 00:40 被shayi编辑，原因： 2018-4-24 00:39 0
cat喵雪币： 474 活跃值： (232) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 4 楼那个我也是新手，只知道APC注入，但是实用性不高，要求太多。然后就是windows的很多异步IO都是使用的APC机制来完成。3楼的翻译大神说的挺好，受教了 2018-4-24 08:08 0
KevinsBobo 雪币： 23080 活跃值： (3432) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 76 关注私信	KevinsBobo 8 5 楼楼主你好，上面图片有几处内容丢失，建议将原版word或pdf格式文章放到附件中，暂时解决问题。我会联系坛主处理你提到的发帖问题。最后于 2018-4-24 09:50 被KevinsBobo编辑，原因： 2018-4-24 09:50 0
KevinsBobo 雪币： 23080 活跃值： (3432) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 76 关注私信	KevinsBobo 8 6 楼刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中 2018-4-24 09:57 0
cat喵雪币： 474 活跃值： (232) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 7 楼 KevinsBobo 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中[em_13] 噢噢，谢谢，我还是用markdown把，我上传一下附件，没注意截图的问题，长图截图的bug 2018-4-24 12:33 0
Oday小斯雪币： 1129 活跃值： (2756) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 8 楼谢谢分享 2018-4-24 13:08 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 9 楼感谢分享！ 2018-4-24 13:24 0
SevenSir 雪币： 129 活跃值： (407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 70 粉丝 1 关注私信	SevenSir 1 10 楼感谢分享！ 2018-5-3 10:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
ZwTrojan 雪币： 4 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 1 关注私信	ZwTrojan 2 楼初学的能不能问下APC具体是用来干什么的呢,百度了很多还是不太清楚 2018-4-23 23:06 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 3 楼这个参考资料不错，读wrk源码时拿来对比，可节省不少分析时间； apc 是 “异步过程调用” 的首字母缩写，每个内核模式线程都有一个内核模式 apc 队列，因此它执行在特定线程的上下文中，它的交付机制与 APC 中断有关；驱动程序创建的线程经常使用 apc 机制来在 I/O 完成时进行定制的处理；站在内核安全的角度来看，其实我们只需意识到，线程的 KTHREAD 结构关联到其 apc 队列，把 apc 结构中的 KernelRoutine 函数指针设置为 PspExitThread()，就能够终止宿主线程（比如反病毒的），因此 apc 也经常被后门程序、rootkit 用作自我保护机制之一最后于 2018-4-24 00:40 被shayi编辑，原因： 2018-4-24 00:39 0
cat喵雪币： 474 活跃值： (232) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 4 楼那个我也是新手，只知道APC注入，但是实用性不高，要求太多。然后就是windows的很多异步IO都是使用的APC机制来完成。3楼的翻译大神说的挺好，受教了 2018-4-24 08:08 0
KevinsBobo 雪币： 23080 活跃值： (3432) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 76 关注私信	KevinsBobo 8 5 楼楼主你好，上面图片有几处内容丢失，建议将原版word或pdf格式文章放到附件中，暂时解决问题。我会联系坛主处理你提到的发帖问题。最后于 2018-4-24 09:50 被KevinsBobo编辑，原因： 2018-4-24 09:50 0
KevinsBobo 雪币： 23080 活跃值： (3432) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 76 关注私信	KevinsBobo 8 6 楼刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中 2018-4-24 09:57 0
cat喵雪币： 474 活跃值： (232) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 7 楼 KevinsBobo 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中[em_13] 噢噢，谢谢，我还是用markdown把，我上传一下附件，没注意截图的问题，长图截图的bug 2018-4-24 12:33 0
Oday小斯雪币： 1129 活跃值： (2756) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 8 楼谢谢分享 2018-4-24 13:08 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 9 楼感谢分享！ 2018-4-24 13:24 0
SevenSir 雪币： 129 活跃值： (407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 70 粉丝 1 关注私信	SevenSir 1 10 楼感谢分享！ 2018-5-3 10:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复