0x0 技术简介 实现环境 系统:Windows 7 64bit 工具:VS+WDK 驱动注入 我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。...APC(异步过程调用)是一种内核机制,它提供了一种在特定线程上下文中执行定制例程的方法。一旦被分派,APC将异步转移目标线程的执行流以调用所选的例程。 apc可分为两大类: 1....用户模式`APCs: APC`例程最终将执行用户模式代码。只有当拥有apc的线程变得可警报时,才会发出用户模式apc。这是我们将在本节其余部分中讨论的APC类型。...从安全产品的角度来看,内核空间的APC注入提供了一种方便可靠的方法,可以确保特定模块被加载到(几乎)整个系统所需的每个进程中。...2,附加到目标进程获取其ntdll.dll模块基址及模块中LdrLoadDll函数地址 3,初始化ShellCode,赋值其中的参数和函数地址,申请空间拷贝代码 4,执行
这些函数会从注册表中读取下列键值: ? 我们可以在进程监视器中看到以下活动: ? 接下来,MitigationsFlagsValues的值将会存储在EPROCESS结构体中: ?...正如之前的介绍,ACG会监控内存的分配情况,并防止同时拥有写入和执行权限,当我们尝试分配虚拟内存时,调用栈如下: ?...: 绑定目标进程; 获取Ntdll地址; 获取LdrLoadDll地址; 通过shellcode分配虚拟内存; 通过shellcode调用LdrLoadDll; 在使用新的线程实现shellocde注入时...,我们需要使用NtCreateThreadEx并在shellcode中调用LdrLoadDll。...另一方面,如果我们想要使用一个APC来注入shellocde,我们则需要在相应线程中使用APC函数并通过shellcode调用LdrLoadDll。
远程注入CreateRemoteThread使用了 LdrLoadDll 注入失败 getlasterror 87 - 参数错误 经过x64 dbg调试,是静态依赖的dll未找到导致...(..., dll_path, ...) to the APC queue....; } process_handle = open_process(pid); uint8_t *ptr = si.lpMinimumApplicationAddress; //系统可访问的最小地址...while (ptr < (uint8_t *)si.lpMaximumApplicationAddress) { //系统可访问的最大地址 if (VirtualQueryEx(process_handle...ptr += 0x1000; continue; } //未分配 //guard page不允许访问 if (
如果仔细看过《DllMain中不当操作导致死锁问题的分析--导致DllMain中死锁的关键隐藏因子2》,应该得知第14步就是进入临界区的点。 ? ...我们可以看到LdrLoadDll内部调用了LdrLockLoaderLock。...LdrLockLoaderLock内部进入临界区,我们用IDA查看LdrLoadDll函数 int __stdcall LdrLoadDll(int a1, int a2, int a3, int a4...其实在LdrpLoadDll中也会进入该临界区,但是我们不必关注了。因为只要一次没出临界区就可以满足死锁的条件了。 ...以上两段从源码级证明了加载和卸载DLL导致的DllMain的调用(以及不调用)都是在临界区中完成的。
本文介绍使用Windbg去验证《DllMain中不当操作导致死锁问题的分析--导致DllMain中死锁的关键隐藏因子》中的结论,调试对象是文中刚开始那个例子。...8 baw2 0x7c99e178 对LockCount设置写断点 9 g 10kb 我们看到线程号是1,即Windbg插入的线程导致的断点,我们忽略之(我们看到关闭线程时也会进入临界区...我们使用IDA反编译LdrLoadDll,可以看到调用的位置 v4 = RtlDosApplyFileIsolationRedirection_Ustr(1, a3, &unk_7C99E214, &...33 kb 查看工作线程调用堆栈 ? ...34 dt _RTL_CRITICAL_SECTION 0x7c99e174 查看临界区所有权,从线程TID中我们可以看到,临界区的确是被主线程占着。 ?
APC 是 PHP 缓存工具。PHP 每次处理请求都会要重新编译源代码,APC 就是负责把编译好的执行文件存储再内存中,下次调用的时候就不必再重新编译了,极大提高了访问速度。...Memcache 也是一个内存工具,它的主要作用是将一些静态化的内容存储再内存里面,这样当下次用户访问时,不必读取硬盘,访问速度自然大大加快。Memcache 可以用来存储 Session。...2、利用 Memcached 缓存静态化页面 存入内存,比读取硬盘要快很多,用户访问量越大,速度提升越明显。在 VPS安装Memcached对象缓存 为WordPress再提速!...其中必须关闭156行: slowlog = /var/log/php-fpm/www-slow.log 这是个 BUG ,记录慢日志的话 PHP 必然会内存溢出导致所有 PHP 全部报错。...你可以反过来分配,让nginx默认使用其他核,这样就避开了同主机其他用户的冲突。
PHP版本选择 1、部分老程序支持5.2,请自行阅读程序支持的php版本 2、如您的程序需要开启opcache/xcache/apc/yac等扩展,请切换至php5.5以上版本,强行安装可能会导致网站无法访问...,请求超时等异常情况 3、php5.5+以上版本php为x64程序,与php5.2/5.3/5.4部分扩展存在兼容性问题 4、相同php版本opcache/xcache/apc等脚本缓存扩展,请只安装其中...1个,否则可能导致您的站点程序异常 注意:请按实际需求安装扩展,不要安装不必要的PHP扩展,这会影响PHP执行效率,甚至出现异常 网站出现间接性500错误一般属于扩展兼容性问题在 Windows 平台上共享内存段的基地址...所有的 PHP 进程都将共享内存映射到同样的地址空间,部分扩展会导致内存基址冲突,这些错误完全是随机性的 如您使用的是IIS,IIS默认5分钟内错误5次,则会停止此站点从而响应503,如不需要停止,请通过网站管理
所以就可以使用下列几种办法来对抗: syscall实现apihook绕过 unhook技术 那么他们的特点分别是: 在 syscall 的时候有时候会导致堆栈不完整,在杀软看来是一些异常的行为,比如下图可以看到...PE 文件映射绕过 hook 如果被打开文件是PE格式,那么这个文件会按照内存展开,那么我们猜想是不是这个被第二次载入内存的ntdll是不是就是一个干净的ntdll,能不能帮助我们绕过一些inline...,而我们这个方法的主角就是 LdrLoadDLL。...address 就是内存中 LdrLoadDLL 第二条指令的位置,在 x64 下就是 address(LdrLoadDLL)+5 mov qword ptr[rsp + 10h] //原始的LdrLoadDll...挂起的进程获取干净的ntdll 当一个进程还没有被运行,刚开始加载若干dll的时候,会记载没有被hook的ntdll,以及edr的dll。
AH00052: child pid 22369 exit signal Aborted (6)提示,翻阅相关资料,可以大概知道错误是由于同时安装了opcache和apcu两个缓存,面板那边也提示了可能导致网站程序异常...ytkah温馨提醒:可能导致错误原因有多种,需要具体问题具体分析 1.使用memcached模块在linux x86-64上有问题 2.由于php编译安装过程有问题,或者apache+php安装完成后...httpd.conf和相关配置文件后,重新安装一遍apache+PHP,注意先后顺序,如果还是会有这个提示,请更换php版本重装. 3.php的模块zend_extension和extension冲突... 4.由于使用了APC造成的,这是这类op-code缓存优化软件共同的问题.建议用最新版本试试(http://pecl.php.net/package/APC).一旦出现,只能重起apache. ...ZendOptimizer-3.3.0与jdk1.7.0冲突 8. web访问的某些特殊文件造成的,检查access_log可以看到,删除文件
我们推荐,如果调用APC使用内存空间的话,先考滤apc.shm_size,后考滤apc.shm_segments。具体数值,可以根据apc.php监控情况进行规划与调整。...server可以访问到的地方,浏览即可访问。...另外,APC可提供一定的内存缓存功能.但是这个功能并不是十分完美,有报告说如果频繁使用APC缓存的写入功能,会导致不可预料的错误.如果想使用这个功能,可以看看apc_fetch,apc_store等几个与...系统缓存: 是自动使用的,是指APC把PHP文件源码的编译结果缓存起来,然后在再次调用时先对比时间标记。如果未过期,则使用缓存代码运行。....如果量大,我建议使用memcache会更好.
之所以要切换到 Zend Opcache,是因为各种评测结果都显示 Zend Opcache 性能优于 APC,尤其是对 wordpress 的加速更是经过验证的,而且从 PHP5.5 开始已经绑定了...,都保留的话不但没有意义,而且会冲突。...我这里没卸载,主要是因为 Zend Opcache 没有数据缓存 API,我在没有 Memcached 的时候都会用 APC 来做 Laravel 的缓存驱动。...目录下会自动添加 Zend Opcache 的配置文件 opcache-default.blacklist 和 opcache.ini....然后 service httpd restart 重启 Apache,打开浏览器访问网站,验证是否一切正常即可。
apc键名存在9.apc_delete_file(mixed keys) 从opcode缓存中删除给定文件的缓存10.apc_compile_file(string filename [,bool atmic...会更好,不需要经过网络传输协议tcp;apc不适用于通过函数apc_store缓存频繁变更的用户数据,会出现一些奇异的现象;apc本身不支持分布式。...不过apc开发者说pecl hidef性能更加,抛弃define,它是低效的6.apc_store,对于系统设置等PHP变量,生命周期是整个应用(从httpd守护进程到httpd守护进程关闭),使用apc...; 文本编辑器以及cp, tar 等程序却并不是这样操作的,从而导致有可能缓冲了残缺的文件。; 默认值2 表示在访问文件时如果发现修改时间距离访问时间小于2 秒则不做缓冲。...; 那个不幸的访问者可能得到残缺的内容,但是这种坏影响却不会通过缓存扩大化。; 如果你能确保所有的更新操作都是原子操作,那么可以用0 关闭此特性。
可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncroneus Procedure Call),即异步过程调用。 APC队列 kd> dt _KTHREAD nt!...,具体点说:A进程的T线程中的所有APC函数,要访问的内存地址都是A进程的。...但线程是可以挂靠到其他的进程:比如A进程的线程T,通过修改Cr3(改为B进程的页目录基址),就可以访问B进程地址空间,即所谓“进程挂靠”。...如果这个APC是当前线程插入给其他线程的,且是个用户APC。当APC所属线程处于等待时,会尝试唤醒线程来执行APC。...当APC所属线程处于运行时,会直接触发软中断执行APC或通知其他核触发软中断执行。当APC所属线程处于等待时,会尝试唤醒线程来执行APC。其他状态则不会立马执行APC。
,可能在线程体里面调用某些api函数可能会失败。...第三种 APC注入 通过CreateRemoteThread函数创建一个线程就可以使用远程进程中的一个函数。然而,线程创建需要系统开销,所以调用一个现有的线程会更加高效。...Windows的异步过程调用(APC)可以满足这种要求 APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每个线程都有一个附加的APC队列,它们在线程处于可警告的等待状态时被处理。...所以只需要将目标进程的线程的APC队列里面添加APC过程,当然为了提高命中率可以向进程的所有线程中添加APC过程。然后促使线程从休眠中恢复就可以实现APC注入。...为了避免冲突,在重写入进程之前,需要取消进程对内存的映射)。
PHP 中几种常见的共享内存使用方式 APC 可以缓存 PHP 的 opcode 提高应用的性能,可以在同个 PHP-FPM 进程池的进程间共享数据,常用功能如下: apc_store apc_fetch...从内存段读取数据 从共享内存段读取数据很简单。您只需要一个打开的内存段和 shmop_read 函数,它接受三个参数,如下所示: <?...关闭内存段 打开一个共享内存段会 “附加” 到它。附加该内存段之后,我们可在其中进行读取和写入,但完成操作后,我们必须从它解除。 <?...,但是本地想模拟实现写入冲突实际上是非常难的(考虑到计算机的执行速度)。...这应该是因为正在共享内存被上一次操作占用中还没有释放导致。 共享内存,memcache,文件的读写速度对比。
随着网络的发展,数据越来越多,从而导致运算压力越来越大。为了解决这一问题,就需要合理分配资源,充分利用已有资源,缓存的工作实际就是资源的合理分配。 在web世界里,理论上每层都可以被缓存。...应用层的虚拟机变量缓存,memcached缓存,apc基于字节码的缓存。...同样的查询,如果没有使用cache方法,则不会获取或者生成任何缓存,即便是之前调用过Cache方法。...查询缓存只是供内部调用,如果希望查询缓存开放给其他程序调用,可以指定查询缓存的Key,例如: $Model->cache('cache_name',60)->select(); 则可以在外部通过S方法直接获取查询缓存的内容...静态规则 静态规则是用于定义要生成的静态文件的名称,静态规则的定义要确保不会冲突,写法可以包括以下情况: 使用系统变量 包括 _GET、_REQUEST、_SERVER、_SESSION、_COOKIE
摘要:Windows APC的全称为(asynchronous procedure call)翻译为中文即“异步过程调用”。...然后线程在一个较低IRQL级别,来执行APC。 APC的作用是从系统空间拷贝I/O操作结果和状态信息到线程虚拟内存空间的一个缓冲中。...从函数名称,也应该能推测到一个线程其实有两个APC队列:用户APC、系统APC。 Windows APC函数是被按照先进先出(FIFO)顺序放置在一个队列Queue上面的。...同时,用户APC函数极为特别,它只有在线程处于“可警告alertable的线程等待状态”时才能被线程调用。但是,线程一旦开始调用APC函数,就会一次性将所有APC队列上的函数全部执行完毕。...这个函数比起Sleep就多了一个参数Alertable,表示该线程是“可唤醒的”,就是说,线程虽然等待时间未到,但如果发生一些事件,线程也会及时去处理。
APC 链表头指针 ApcListHead 位于其结构第一个成员位置。 为调用线程的共享读访问请求指定的资源。...根据 MSDN 上的描述,调用该函数之前必须禁用 Normal Kernel APC。直到资源释放之前,APC 投递必须保持禁用状态。以下是该函数的声明。...其中的第二个参数 BOOLEAN bAcquiredResource 表示当前调用环境是否已获取到前述的系列资源的读访问权限,如果传入 FALSE 则在该函数内部会调用 ExAcquireResourceSharedLite...函数进行这些资源的读访问权限的获取。...在判断标志位之后,函数会执行一些诸如资源权限释放、恢复 Normal Kernel APC、Kernel APC 投递检查并继续投递等操作。具体可以参考前面部分的内容,代码的注释已经写清楚。
去调用中断处理函数. 此时CPU就处于硬件上下文. 2.IROL中断级别. 因为会产生很多CPU电信号.所有硬件同是发送中断处理级别怎么办.所以需要为这些级别分一个优先级....CPU会先执行优先级高的.会把优先级低的给屏蔽掉. 当CPU处于中断上下文的时候. CPU不能是阻塞的/阻塞. 没有进程可以调度....会运行在DISPATCH_LEVEL级别.但是此时 按照我们Ring3编程的想法.你可能会调用ZwCreateFile这个函数进行将按键写入到文件中....各种派遣函数 Passive级别 完成函数 Dispatch级别 各种NDIS回调函数 Dispatch级别 PASSIVE级别是可以使用任何函数和内存 DISPATCH级别只能访问能运行在DISPATCH...首先调用 KeGetCurrentIrql() 这个函数来判断是否小于等于 APC级别. 然后当参数传递给 PAGED_ASSERT(exp)宏.
假设一次请求需要 include 两个 PHP 文件,分别是 a.php 和 b.php,当 include a.php 完成后,发布代码,接着 include b.php,如果处理不当的话,那么就可能会导致旧版本的...即便调用了 apc_clear_cache 或者 opcache_reset 方法也无效,重启 php-fpm 自然是能够解决问题,不过对脚本语言来说重启太重了!难道除了重启就没有别的办法了么?...BTW:如果需要手动重置 opcode cache,需要注意的是因为它是基于 SAPI 的概念,所以不能直接在命令行下调用 apc_clear_cache 或者 opcache_reset 方法来重置缓存...不过作为代价,每一次请求,nginx 都要通过相对昂贵的 IO 操作获取 realpath_root 的值,通过 strace 命令我们能监控这一过程,下图从 current 到 foo 的过程: realpath...sfn」前后,如果使用 stat 查看新旧文件的 inode 的话,可能会发现它们拥有一样的 inode 值,看上去和我们的结论相悖,其实不然,实际上只是复用删除值而已(如果想验证,注意 Linux 会复用
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
