early bird inject
基本原理
本质是利用windows系统的apc机制,以及涉及到windows进程启动的流程.
因为线程初始化阶段LdrInitializeThunk函数会调用NtTestAlert函数,这个函数执行后,所有apc队列中的例程都会执行.因此我们在主线程初始化之前向主线程的apc队列中加入恶意代码即可实现代码执行.
具体就是创建一个挂起状态的进程,然后向其主线程的apc队列中添加新的数据,然后恢复目标进程让其执行我们添加的数据即可.apc队列中的例程会在目标进程入口点代码执行之前执行,不过加载IAT表中的dll后,apc队列才会开始执行.
NtTestAlert执行时机
NtTestAlert会在LdrpInitiallizeProcess执行结束后执行,此时所有静态链接的dll都已经加载完毕.
防御手段
检查跨进程添加APC
参考文章
https://idiotc4t.com/code-and-dll-process-injection/early-bird