奇安信攻防社区-内核APC&用户APC详解

内核APC&用户APC详解

0x01 内核APC
==========

线程切换
----

```c++
SwapContext 判断是否有内核APC

KiSwapThread

KiDeliverApc    执行内核APC函数
```

定位到`SwapContext`函数，然后查看`KernelApcPending`的值是否为空，不为空则跳转，这里只是进行判断，我们往上跟

![image-20220326143554171.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-80fe45d3fc433b14016b5c11604233dcc721bf34.png)

然后回到`KiSwapContext`

![image-20220326143632315.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-40e78593f9bfa85d75e9ed56e156a65bbbeec72a.png)

再往上走得到`KiSwapThread`

![image-20220326143650339.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-c59cf19de39b0409437bc8cc8556d853665e8862.png)

这里判断后进行跳转

![image-20220326143724811.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-0cdc3896a7e9cccd66729f47242695cd115407e3.png)

然后调用`KiDeliverApc`

![image-20220326143809782.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-68198be5d156e4088fd3feb75f6cff2b8f3e4839.png)

系统调用、中断或者异常
-----------

当要执行用户APC之前，先要执行内核APC，这里找到`KiServiceExit`，有一个比较检验`UserApcPending`的值是否有APC请求

![image-20220326144414076.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-537676692057089405b2468360b5caab09b02c16.png)

然后调用`KiDeliverApc`

![image-20220326144445731.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-009083a54479bad82ae00df5e41025b76c7acb69.png)

内核层APC执行
--------

### KiDeliverApc

继续往里面跟，判断内核APC的链表是否为空，若不为空则跳转

![image-20220326150225481.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-a7b420236faa3a3f487c52b209df0a2ea690fc93.png)

### NormalRoutine

跳转后判断`NormalRoutine`里面存储的是内核APC的地址还是APC的的总入口，然后再跳转

![image-20220326150241543.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-f3f68875b84aa003464152c2fc3296e4db61d2c2.png)

如果为空向下执行则会调用`KernelRoutine`对APC进行销毁

![image-20220327101813853.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-9305a3da9ac1b0c9eaf0e6f015d662bf8b0d96a1.png)

跳转过后执行真正的内核APC函数`NormalRoutine`

![image-20220326152845772.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-05505745b761a3564f08c3503bc46a5e81495ef6.png)

内核APC执行流程
---------

```c++
KiDeliverApc函数执行流程

1) 判断第一个链表是否为空

2) 判断KTHREAD.ApcState.KernelApcInProgress是否为1

3) 判断是否禁用内核APC(KTHREAD.KernelApcDisable是否为1)

4) 将当前KAPC结构体从链表中摘除

5) 执行KAPC.KernelRoutine指定的函数 释放KAPC结构体占用的空间

6) 将KTHREAD.ApcState.KernelApcInProgress设置为1 标识正在执行内核APC

7) 执行真正的内核APC函数(KAPC.NormalRoutine)

8) 执行完毕 将KernelApcInProgress改为0

9) 循环
```

0x02 用户APC
==========

当产生系统调用、中断或者异常，线程在返回用户空间前都会调用`KiServiceExit`函数，在`KiServiceExit`会判断是否有要执行的用户APC，如果有则调用`KiDeliverApc`函数(第一个参数为1)进行处理。

处理用户APC要比内核APC复杂的多，因为，用户APC函数要在用户空间执行的，这里涉及到大量换栈的操作：

当线程从用户层进入内核层时，要保留原来的运行环境，比如各种寄存器，栈的位置等等 (`_Trap_Frame`)，然后切换成内核的堆栈，如果正常返回，恢复堆栈环境即可。

但如果有用户APC要执行的话，就意味着线程要提前返回到用户空间去执行，而且返回的位置不是线程进入内核时的位置，而是返回到其他的位置，每处理一个用户APC都会涉及到：

> 内核--&gt;用户空间--&gt;再回到内核空间

KiDeliverApc
------------

```c++
1) 判断用户APC链表是否为空

2) 判断第一个参数是为1

3) 判断ApcState.UserApcPending是否为1

4) 将ApcState.UserApcPending设置为0

5) 链表操作 将当前APC从用户队列中拆除

6) 调用函数(KAPC.KernelRoutine)释放KAPC结构体内存空间

7) 调用KiInitializeUserApc函数
```

线程进0环时，原来的运行环境(寄存器栈顶等)保存到`_Trap_Frame`结构体中，如果要提前返回3环去处理用户APC，就必须要修改`_Trap_Frame`结构体：

比如：进0环时的位置存储在EIP中，现在要提前返回，而且返回的并不是原来的位置，那就意味着必须要修改EIP为新的返回位置。还有堆栈ESP,也要修改为处理APC需要的堆栈。那原来的值怎么办呢?处理完APC后该如何返回原来的位置呢?

`KiInitializeUserApc`要做的第一件事就是备份：

将原来`_Trap_Frame`的值备份到一个新的结构体中(`CONTEXT`)，这个功能由其子函数`KeContextFromKframes`来完成，代码如下

首先判断参数是否为1，当参数为1的时候处理用户APC

![image-20220326194053904.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-3d0ef98b09b53c12cd41c64216932775b3e962f9.png)

然后进行一系列的操作

![image-20220326194200087.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-708cd0fc1951ba0731babf3de14e079b66e4ce78.png)

KiInitializeUserApc
-------------------

接着转到`KiInitializeUserApc`函数

![image-20220326194207494.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-4b3e4e83adad01511b5d66021c37dd56078bc1db.png)

将`CONTEXT`和`TrapFrame`传入`KeContextFromKframes`

![image-20220326204520108.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-d490322ee0fbdcba88c557116d5e288317690695.png)

这里接着往下看，这里得到C4

![image-20220326204559833.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-120cc87cc0d9895945677dcb6094fe2bc69dd555.png)

C4对应的`Esp`存储的是3环原来的栈顶

![image-20220326204624443.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-515164740a9f271704b9446ca6a7e9984bd1880b.png)

然后以4字节对齐将3环堆栈减去0x2DC个字节，这里是因为要将`CONTEXT`结构和KAPC的4个参数传给3环

![image-20220326204758118.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-357585e619a2885c701cb1f997fd4005051b2ec8.png)

原本三环的ESP如图所示

![image-20220326233115238.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-1d99551a9b7744732973963c0c72e1a2a8f392ce.png)

`CONTEXT`结构体的大小为0x2CC，KAPC的4个参数的大小为0x10，所以减去0x2DC

![image-20220326233221648.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-10df0d430b35aec19ec758beb5fdb8a160768fd3.png)

这一部分代码主要是将`CONTEXT`结构复制到3环的堆栈

![image-20220326233633857.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-58eb1bbbe737693e17471a308f996fe61ebf9cdc.png)

![image-20220326233612120.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-eb4b9b5554451d39da6f2086f0d38917699b3ce8.png)

当windows把`CONTEXT`结构复制到堆栈之后，准备用户层执行环境，首先修改SS、DS、ES、FS、GS和EFLAGS寄存器

![image-20220326233926270.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-4459218c4185cfe44d774b575ff0a68fc29bc85f.png)

然后修改esp到3环堆栈

![image-20220326234026401.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-d13d75e5f6ccade60c2aa1bdb75238cfa3f02b59.png)

![image-20220326234034331.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-1de2539fae2f73e774f994a2ae49b1871e133560.png)

KiUserApcDispatcher
-------------------

然后修改eip，这里永远返回一个固定的位置，但是这个位置在每次系统启动的时候都不相同，存放在3环的`ntdll`里的`KiUserApcDispatcher`参数里面

![image-20220326234048961.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-ee0ecdddf7abff596b0ce65525922ab4aecad6f4.png)

然后到ntdll里面定位到`KiUserApcDispatcher`，首先得到指向`CONTEXT`结构的指针，然后`pop eax`得到`NormalRoutine`结构，这里当APC是内核APC的时候存储的是真正的APC地址，当APC是用户APC的时候存储的是指向用户APC的总入口

![image-20220326234409930.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-2ad36be4b2f34f233e85f986997ff979522af8e4.png)

当我们调用`QueueUserAPC`，并没有指定`NormalRoutine`结构，只指定了`NormalContext`和`SystemArgument1`，那么这个参数在`QueueUserAPC`内部指定，在`kernel32.dll`的`BaseDispatchAPC`，用来调用真正的用户APC函数

![image-20220326234736069.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-fe8bf8df49107e88cc488028eeac9767f65503bd.png)

再继续往下跟，调用了`ZwContinue`

```c++
1) 返回内核，如果还有用户APC，重复上面的执行过程。

2) 如果没有需要执行的用户APC，会将CONTEXT赋值给Trap_Frame结构体。就像从来没有修改过一样。ZwContinue后面的代码不会执行，线程从哪里进0环仍然会从哪里回去。
```

![image-20220326235039964.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-90efad09f90f145f366113b960fb632bed9c5002.png)

使用`0x20`的调用号利用调用门回到0环

![image-20220327105651413.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-86f212936f390f63946f4d2e6aec761038bda4a8.png)

用户APC执行流程
---------

总结：

1.内核APC在线程切换时执行，不需要换栈，比较简单，一个循环执行完毕。

2.用户APC在系统调用、中断或异常返回3环前会进行判断，如果有要执行的用户APC，再执行。

3.用户APC执行前会先执行内核APC。

![1827556-20191103170141163-71115727.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/06/attach-0f38324d67833e82d3577f1aff04b37de81c962e.png)

发表于 2022-06-13 10:05:48
阅读 ( 6376 )
分类：漏洞分析

内核APC&用户APC详解

0 条评论