干货 | 代码执行高级方式--APC注入 回调函数 映射注入 函数踩踏

文章预览

本文目录 APC注⼊ 另⼀种⽆需创建新线程即可运⾏有效负载的⽅法。此技术称为 APC 注⼊。 什么是 APC？ 异步过程程调⽤ 是⼀种 Windows 操作系统机制，它使程序能够异步执⾏任务，同时继续运⾏其他 任务。APC 被实现为在特定线程上下⽂中执⾏的内核模式例程。恶意软件可以利⽤ APC 将有效 负载排队，然后在安排时执⾏它。 Asynchronous Procedure Calls - Win32 apps | Microsoft Learn 可报警状态 并⾮所有线程都可以运⾏排队的 APC 函数，只有处于可警告状态 的线程才能这样做。可警告状 态线程是处于等待状态的线程。当线程进⼊可警告状态时，它会被放置在可警告线程队列中，从⽽ 允许它运⾏排队的 APC 函数。 什么是APC队列？ 要将 APC 函数排队到线程，必须将 APC 函数的地址传递给QueueUserAPC WinAPI。根据 Microsoft 的⽂档： 应⽤程序通过调⽤ QueueUserAPC 函数将 APC 排 ………………………………