PC逆向 APC函数解说

团队计划进行为期4到5天的项目开发，首要任务是理解并应用APC相关API。首先，创建名为APC的工程并从项目中复制出需要的API函数原型，接着进行初始化，主要是根据参数填充并插入ABC结构。强调直接手动插入功能与使用导出函数的区别不大，建议基于导出函数进行开发。

05:28 - 线程和APC的初始化与插入操作

讨论了APC（异步过程调用）的初始化和插入操作，强调了APC在初始化后如何被插入到特定的线程队列中，涉及线程相关机制和APC的全称解释。详细讨论了APC的创建、初始化以及如何选择性地将其插入到不同的环境队列中，包括原始环境、挂靠环境和当前环境。最后，解释了APC结构的释放，强调了用户需自行管理APC结构的生命周期。

23:56 - 探讨APC机制及其应用

我们发现路径变化意味着APC可以指定执行某段代码。APC允许控制县城执行特定代码，增强代码注入和劫持的能力。讨论了函数指针、参数注入以及如何隐藏实际目标的重要性，展现了APC机制在代码控制中的强大潜力。此外，讨论了紧急与普通APC的区别以及如何通过APC来影响其他进程的代码执行。

32:30 - 链表紧急插入机制分析

讨论了链表中插入元素的优先级区分机制，普通元素和紧急元素的插入方式不同。紧急元素会优先考虑头插，而非紧急元素则在链表尾部插入。讨论中还涉及了与链表操作相关的内核结构和参数，例如ABC中断响应、队列锁、以及是否允许ABC队列等，这些参数控制着链表和内核调度的特定行为。

42:40 - 分析ABC队列和链表结构

讨论了ABC队列的使用和结构，包括内核队列与用户队列的区分，以及如何判断进程是否挂靠。讨论还涉及了链表节点如何指向ABC结构，以及对ABC节点在不同环境下的调用进行了说明。

46:57 - 理解内核态与用户态下的APC节点插入状态

讨论了内核态与用户态下APC节点插入状态的区分，说明了使用零和一表示节点是否已插入队列。进一步解释了APC状态的保存机制，即在进程挂靠时保存之前的状态，并使用指针交换的方法确保状态正确读取。强调了此方法在不挂靠和挂靠状态下的指针取值差异，以及其对设计的灵活性和便利性。

58:15 - 分析函数初始化和插入逻辑

我们分析了传入APC的函数，特别是它对环境的判断以及数据赋值过程。初始化时，函数会根据环境变量选择不同的操作，包括直接赋值和从环境取值。如果环境变量为空，会使用默认值。讨论指出，环境变量通常有两种（零或一），此外还有三环，但没有详细说明三环的操作。我们被指示在明天讨论插入操作，同时建议读者自行实现代码，并研究ABC注入技术。