使用异步过程调用（APC）实现模块注入

userchm

摘自：windows编程循序渐进     
        异步过程调用是一种能在特定线程环境中异步执行的系统机制。往线程APC队列添加APC，系统会产生一个软中断。在线程下一次被调度的时候，就会执行APC函数，APC有两种形式，由系统产生的APC称为内核模式APC，由应用程序产生的APC被称为用户模式APC。
       每个线程都拥有自己的APC队列。应用程序可以使用函数把APC添加到指定线程的APC队列，函数定义如下：

DWORD WINAPI QueueUserAPC(
  __in          PAPCFUNC pfnAPC,//APC函数地址
  __in          HANDLE hThread,//目标线程
  __in          ULONG_PTR dwData//APC函数的参数
);

其中APC函数原型如下：

VOID CALLBACK APCProc(
  [in]                 ULONG_PTR dwParam
);


当用户模式APC被添加后，线程并不会直接调用APC函数，只有当线程处于“可变等待状态”时才会调用。如果希望线程执行APC函数，就要让线程进入可变等待状态。当线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectEx、WaitForMultipleObjectsEx或WaitForSingleObjectEx时就会进入可变等待状态。
ReadFileEx、WriteFileEx、和SetWaitableTimer等都是使用APC作为完成例程的回调机制。
  
原理：使用QueueUserAPC向目标进程的线程添加APC函数，而这个APC函数能够实现模块的加载功能。要使用这种方法的前提是目标进程能够进入可变等待状态，否则即便添加了APC也没有执行的机会
步骤：
1.向目标进程写入待注入的模块名称
2.枚举目标进程所有线程。（由于并不是每个线程都有机会进入可变等待状态，为了增加APC的机会，向目标进程的每个线程都添加APC是个比较保险的做法）
3.增加APC，把LoadLibrary作为APCProc，把第一步中DLL路径名称所在地址作为其参数
代码：
// QueueApc.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"


#define _WIN32_WINNT 0x0400
#include <windows.h>
#include <TlHelp32.h>

#include <iostream>
#include <string>
using namespace std;

#define DEF_BUF_SIZE 1024

// 用于存储注入模块DLL的路径全名
char szDllPath[DEF_BUF_SIZE] = {0} ;

// 使用APC机制向指定ID的进程注入模块
BOOL InjectModuleToProcessById ( DWORD dwProcessId )
{
        DWORD        dwRet = 0 ;
        BOOL        bStatus = FALSE ;
        LPVOID        lpData = NULL ;
        UINT        uLen = strlen(szDllPath) + 1;
        // 打开目标进程
        HANDLE hProcess = OpenProcess ( PROCESS_ALL_ACCESS, FALSE, dwProcessId ) ;
        if ( hProcess )
        {
                // 分配空间
                lpData = VirtualAllocEx ( hProcess, NULL, uLen, MEM_COMMIT, PAGE_EXECUTE_READWRITE ) ;
                if ( lpData )
                {
                        // 写入需要注入的模块路径全名
                        bStatus = WriteProcessMemory ( hProcess, lpData, szDllPath, uLen, &dwRet ) ;
                }
                CloseHandle ( hProcess ) ;
        }

        if ( bStatus == FALSE )
                return FALSE ;

        // 创建线程快照
        THREADENTRY32 te32 = { sizeof(THREADENTRY32) } ;
        HANDLE hThreadSnap = CreateToolhelp32Snapshot ( TH32CS_SNAPTHREAD, 0 ) ;
        if ( hThreadSnap == INVALID_HANDLE_VALUE )
                return FALSE ;

        bStatus = FALSE ;
        // 枚举所有线程
        if ( Thread32First ( hThreadSnap, &te32 ) )
        {
                do{
                        // 判断是否目标进程中的线程
                        if ( te32.th32OwnerProcessID == dwProcessId )
                        {
                                // 打开线程
                                HANDLE hThread = OpenThread ( THREAD_ALL_ACCESS, FALSE, te32.th32ThreadID ) ;
                                if ( hThread )
                                {
                                        // 向指定线程添加APC
                                        DWORD dwRet = QueueUserAPC ( (PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)lpData ) ;
                                        if ( dwRet > 0 )
                                                bStatus = TRUE ;
                                        CloseHandle ( hThread ) ;
                                }
                        }

                }while ( Thread32Next ( hThreadSnap, &te32 ) ) ;
        }

        CloseHandle ( hThreadSnap ) ;
        return bStatus;
}

int _tmain(int argc, _TCHAR* argv[])
{
        // 取得当前工作目录路径
        GetCurrentDirectoryA ( DEF_BUF_SIZE, szDllPath ) ;

        // 生成注入模块DLL的路径全名
        strcat ( szDllPath, "\\DLLSample.dll" ) ;

        DWORD dwProcessId = 0 ;
        // 接收用户输入的目标进程ID
        while ( cout << "请输入目标进程ID：" && cin >> dwProcessId && dwProcessId > 0 )
        {
                BOOL bRet = InjectModuleToProcessById ( dwProcessId ) ;
                cout << (bRet ? "注入成功！":"注入失败！") << endl ;
        }
        return 0;
}