一、概述

APC是异步过程调用，系统创建线程的时候会为线程创建一个APC队列，当线程调用SleepEx，WaitSingleObjectEx等函数时，并把线程状态被设置为可提醒状态时，线程并不会睡眠，而是检查APC队列是否为空，如果不为空，转去执行APC队列中的每一项，因此给目标进程中的线程插入APC，就可以实现进程注入。

二、用到的Windows API函数

函数QueueUserAPC可以插入APC到目标进程的线程，其原型如下：

DWORD WINAPI QueueUserAPC(

   _In_ PAPCFUNC  pfnAPC,//APC回调函数的指针

   _In_ HANDLE    hThread,//目标线程的句柄

   _In_ ULONG_PTR dwData//传递给回调函数的参数

)

根据前一小结可知，可以调用API去读写目标进程，而本次APC注入需要线程句柄，进程句柄可以通过OpenProcess来获得，那么同理，线程句柄可以通过函数OpenThread来获得，函数原型如下：

HANDLE WINAPI OpenThread(

  _In_ DWORD dwDesiredAccess,//打开权限

   _In_ BOOL  bInheritHandle,//子进程是否继承该句柄

   _In_ DWORD dwThreadId//线程ID

)

其中线程ID的获取，可以通过枚举线程来完成。用到的API如下：

HANDLE WINAPI CreateToolhelp32Snapshot(

   _In_ DWORD dwFlags