一、概述
APC是异步过程调用,系统创建线程的时候会为线程创建一个APC队列,当线程调用SleepEx,WaitSingleObjectEx等函数时,并把线程状态被设置为可提醒状态时,线程并不会睡眠,而是检查APC队列是否为空,如果不为空,转去执行APC队列中的每一项,因此给目标进程中的线程插入APC,就可以实现进程注入。
二、用到的Windows API函数
函数QueueUserAPC可以插入APC到目标进程的线程,其原型如下:
DWORD WINAPI QueueUserAPC(
_In_ PAPCFUNC pfnAPC,//APC回调函数的指针
_In_ HANDLE hThread,//目标线程的句柄
_In_ ULONG_PTR dwData//传递给回调函数的参数
)
根据前一小结可知,可以调用API去读写目标进程,而本次APC注入需要线程句柄,进程句柄可以通过OpenProcess来获得,那么同理,线程句柄可以通过函数OpenThread来获得,函数原型如下:
HANDLE WINAPI OpenThread(
_In_ DWORD dwDesiredAccess,//打开权限
_In_ BOOL bInheritHandle,//子进程是否继承该句柄
_In_ DWORD dwThreadId//线程ID
)
其中线程ID的获取,可以通过枚举线程来完成。用到的API如下:
HANDLE WINAPI CreateToolhelp32Snapshot(
_In_ DWORD dwFlags
)
