[原创]基于Wrk和ReactOS源码分析APC机制的记录-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
ZwTrojan 雪币： 14 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 1 关注私信	ZwTrojan 2018-4-23 23:06 2 楼 0 初学的能不能问下APC具体是用来干什么的呢,百度了很多还是不太清楚
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 51 关注私信	shayi 9 2018-4-24 00:39 3 楼 0 这个参考资料不错，读wrk源码时拿来对比，可节省不少分析时间； apc 是 “异步过程调用” 的首字母缩写，每个内核模式线程都有一个内核模式 apc 队列，因此它执行在特定线程的上下文中，它的交付机制与 APC 中断有关；驱动程序创建的线程经常使用 apc 机制来在 I/O 完成时进行定制的处理；站在内核安全的角度来看，其实我们只需意识到，线程的 KTHREAD 结构关联到其 apc 队列，把 apc 结构中的 KernelRoutine 函数指针设置为 PspExitThread()，就能够终止宿主线程（比如反病毒的），因此 apc 也经常被后门程序、rootkit 用作自我保护机制之一最后于 2018-4-24 00:40 被shayi编辑，原因：
cat喵雪币： 474 活跃值： (222) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 2018-4-24 08:08 4 楼 0 那个我也是新手，只知道APC注入，但是实用性不高，要求太多。然后就是windows的很多异步IO都是使用的APC机制来完成。3楼的翻译大神说的挺好，受教了
KevinsBobo 雪币： 22980 活跃值： (3347) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 68 关注私信	KevinsBobo 8 2018-4-24 09:50 5 楼 0 楼主你好，上面图片有几处内容丢失，建议将原版word或pdf格式文章放到附件中，暂时解决问题。我会联系坛主处理你提到的发帖问题。最后于 2018-4-24 09:50 被KevinsBobo编辑，原因：
KevinsBobo 雪币： 22980 活跃值： (3347) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 68 关注私信	KevinsBobo 8 2018-4-24 09:57 6 楼 0 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中
cat喵雪币： 474 活跃值： (222) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 2018-4-24 12:33 7 楼 0 KevinsBobo 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中[em_13] 噢噢，谢谢，我还是用markdown把，我上传一下附件，没注意截图的问题，长图截图的bug
Oday小斯雪币： 1126 活跃值： (2111) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 134 粉丝 3 关注私信	Oday小斯 2018-4-24 13:08 8 楼 0 谢谢分享
fengyunabc 雪币： 3466 活跃值： (3512) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 517 粉丝 25 关注私信	fengyunabc 1 2018-4-24 13:24 9 楼 0 感谢分享！
SevenSir 雪币： 134 活跃值： (377) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 70 粉丝 1 关注私信	SevenSir 1 2018-5-3 10:07 10 楼 0 感谢分享！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
ZwTrojan 雪币： 14 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 1 关注私信	ZwTrojan 2018-4-23 23:06 2 楼 0 初学的能不能问下APC具体是用来干什么的呢,百度了很多还是不太清楚
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 51 关注私信	shayi 9 2018-4-24 00:39 3 楼 0 这个参考资料不错，读wrk源码时拿来对比，可节省不少分析时间； apc 是 “异步过程调用” 的首字母缩写，每个内核模式线程都有一个内核模式 apc 队列，因此它执行在特定线程的上下文中，它的交付机制与 APC 中断有关；驱动程序创建的线程经常使用 apc 机制来在 I/O 完成时进行定制的处理；站在内核安全的角度来看，其实我们只需意识到，线程的 KTHREAD 结构关联到其 apc 队列，把 apc 结构中的 KernelRoutine 函数指针设置为 PspExitThread()，就能够终止宿主线程（比如反病毒的），因此 apc 也经常被后门程序、rootkit 用作自我保护机制之一最后于 2018-4-24 00:40 被shayi编辑，原因：
cat喵雪币： 474 活跃值： (222) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 2018-4-24 08:08 4 楼 0 那个我也是新手，只知道APC注入，但是实用性不高，要求太多。然后就是windows的很多异步IO都是使用的APC机制来完成。3楼的翻译大神说的挺好，受教了
KevinsBobo 雪币： 22980 活跃值： (3347) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 68 关注私信	KevinsBobo 8 2018-4-24 09:50 5 楼 0 楼主你好，上面图片有几处内容丢失，建议将原版word或pdf格式文章放到附件中，暂时解决问题。我会联系坛主处理你提到的发帖问题。最后于 2018-4-24 09:50 被KevinsBobo编辑，原因：
KevinsBobo 雪币： 22980 活跃值： (3347) 能力值： (RANK：648 ) 在线值：发帖 26 回帖 282 粉丝 68 关注私信	KevinsBobo 8 2018-4-24 09:57 6 楼 0 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中
cat喵雪币： 474 活跃值： (222) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 14 关注私信	cat喵 1 2018-4-24 12:33 7 楼 0 KevinsBobo 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中[em_13] 噢噢，谢谢，我还是用markdown把，我上传一下附件，没注意截图的问题，长图截图的bug
Oday小斯雪币： 1126 活跃值： (2111) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 134 粉丝 3 关注私信	Oday小斯 2018-4-24 13:08 8 楼 0 谢谢分享
fengyunabc 雪币： 3466 活跃值： (3512) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 517 粉丝 25 关注私信	fengyunabc 1 2018-4-24 13:24 9 楼 0 感谢分享！
SevenSir 雪币： 134 活跃值： (377) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 70 粉丝 1 关注私信	SevenSir 1 2018-5-3 10:07 10 楼 0 感谢分享！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复