反射型DLL注入

最新推荐文章于 2024-09-06 22:48:50 发布
最新推荐文章于 2024-09-06 22:48:50 发布
阅读量214 收藏
点赞数
文章标签: windows 网络安全 汇编 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51409218/article/details/134186044
版权
本文探讨了DLL注入技术,包括常规注入方法(如使用CreateRemoteThread和VirtualAllocEx)和反射式注入(通过ReflectiveLoader绕过文件落地)。同时介绍了反射式注入的内存映射实现和检测方法,以及针对检测的免杀策略。
摘要由CSDN通过智能技术生成

1.什么是DLL注入技术?

让进程主动加载指定DLL的技术

1.1常见的DLL注入技术容易被检测到

需要恶意DLL以文件的形式存在于目标主机,留痕容易被检测到

1.2反射式DLL注入的优点体现在什么方面?

恶意DLL可以通过Socket等方式直接传输到目标进程内存并加载,无文件落地

1.3根本区别在于常规的DLL注入中,恶意DLL会在目标主机上出现

而反射型DLL利用自编写的函数实现直接的内存映射,无额外的DLL落地

2.常规的DLL注入的实现思路

2.1实现思路

  • 在被注入进程中创建线程进行DLL注入,使用到的API函数包括CreateRemoteThread()/NtCreateThread()/RtCreateUserThread()
    • 实现思路如下:
        1. 获取被注入进程的PID
        2. 在被注入进程的访问令牌中开启SE_DEBUG_NAME权限(允许一个进程打开并访问其他进程调试信息的权限)
        3. 使用openOpenProcess()函数获取目标进程的句柄
        4. 使用VirtualAllocEx()函数在被注入进程内开辟缓冲区并使用WriteProcessMemory()函数写入DLL路径的字符串
        5. 使用GetProcAddress()函数在当前进程加载的kernel32.dll找到LoadLibraryA函数的地址
        6. 通过CreateRemoteThread()函数调用LoadLibraryA()函数,在被注入进程新启动一个新的线程,新的线程来加载恶意的DLL

    • 劫持被注入进程已存在的线程加载DLL,使用到的API函数包括QueueUserAPC()/SetThreadContext()
    • 设置钩子拦截事件,SetWindowsHookEx()

3反射型DLL的实现思路

3.1根本区别

反射式DLL注入自己实现了一个reflective loader()函数来代替系统kernel32.dll中 的LoadLibrary函数去加载DLL

3..2reflective loader的实现思路(内存映射)

      1. 获取被注入进程尚未解析的DLL的基地址
      2. 获取DLL句柄和函数
      3. 分配新内存去取解析DLL,将PE头和各个节复制到新内存中
      4. 修复导入表和重定向表
      5. 执行DLLMain()函数

4.反射型DLL的检测方法

4.1内存扫描-----扫描策略

1.Hook敏感API,当发生敏感API调用序列时,对注入进程和被注入进程进行内存扫描

2.内存完整性扫描,内存完整性校验或hash值比对

4.2可能的监测点

1.强特征匹配_ReturnAddress()函数

rule StrongFeature_ReturnAddress
{
strings:
$function = "ReturnAddress()"

condition:
$function
}

2.扫描DLL注入过程中特定的HASH函数和hash值

计算HASH值的工具

Hasher

3.整体检测DLL注入,检测DLL注入前后的PE文件

文件差异工具

WinMerge WinMerge - You will see the difference…

Beyond Compare 下载 | Beyond Compare 中文官方网站

5.反思

免杀方式和应对策略

1.避免调用直接的API,转向系统调用,成功绕过用户态HOOk

对于内核态的HOOK可以解决

2.不直接将权限全部放开,而是只修改为rx,成功了绕过对rwx权限修改的成功匹配

    1. 擦除nt头和dos头。这种免杀方式会直接让检测点4)影响较大,不能简单的校验pe头了,需要加入更精确的确定两个dll的文件,比如说,首先通过读取未解析的dll的SizeOfImage的大小,然后去找此大小的内存块,然后对比代码段是否一致,去判断是否为同一pe文件。
    2. 抹除未解析pe文件的内存。这种免杀方式会导致检测点4)彻底失效,这种情况下我们只能对reflectiveloader()函数进行检测。
    3. 抹除reflectiveloader()函数的内存。这里就比较难检测了。但是也是有检测点的,这里关键是如何确定这块内存是pe结构,重建pe结构之后,我们可以通过导出表去看导出函数是否被抹除。

参考文献:深入理解反射式dll注入技术 - SecPulse.COM | 安全脉搏

https://www.youtube.com/watch?v=p-ufU9W1i7Q&list=RDLVp-ufU9W1i7Q&index=2

tntlbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Doge-sRDI:Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-...
Spring 反射注入+全注解注入
omygodvv的博客
09-04 103
autowire="autodetect":容器自动对属性进行值注入,先用constructor的方式,如果没有构造器,再用byType的方式。:是通过"byType"的方式对Bean属性进行自动注入的,如果Bean属性的类有多个,那么就用@Resource("beanName") ,@Resource("beanName") 是通过"byName"的方式对Bean属性进行自动注入的。:是通过"byType"的方式对Bean属性进行自动注入的,如果Bean属性的类有多个,那么就添加。
【ReflectDllInjection】 反射DLL注入
dr0op's blog
04-06 3271
常规dll注入 这里引用一张图来表示: 反射DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
Asp.net Core 反射加载dll
weixin_43632687的博客
07-02 460
【代码】Asp.net Core 反射加载dll
反射dll注入
摔不死的笨鸟的博客
08-27 6526
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
反射Dll注入
dre4merp
05-17 868
上一篇我们介绍了CreateRemoteThread+LoadLibrary进行注入的技巧。但是这种方法实在是太过格式化,所以几乎所有的安全软件都会监控这种方法。所以HarmanySecurity的Stephen Fewer提出了ReflectiveDLL Injection,也就是反射DLL注入。 其和CreateRemoteThread一样也是分为两部分,注入器和注入DLL。但是注入DLL的装载由我们自主实现,由于反射注入方式并没有通过LoadLibrary等API来完成DLL的装载,DLL并没有
网络靶场实战-反射DLL注入
蛇矛实验室
04-11 714
下图说明了反射 DLL 注入的工作原理。在之前的文章中,通过模拟 Windows 映像加载程序的功能,完全从内存中加载 DLL 模块,而无需将 DLL 存储到磁盘上,但这只能从本地进程中加载进内存中,如果想要在目标进程中通过内存加载 DLL 模块,可以通过一些 I/O 操作将所需的代码写入目标进程,但这大量的 I/O 操作对病毒引擎来说过于敏感,还有一个思路就是编写一段引导程序,这段引导程序用来模拟 Windows 映像加载程序的功能加载所需 DLL 模块,这就是本文所描述的技术,反射 DLL 注入
使用反射动态加载dll
qq_27577403的博客
12-13 1213
使用反射动态加载dll //1.动态读取Dll Assembly assembly = Assembly.LoadFile(AppDomain.CurrentDomain.BaseDirectory +@"\EVEDAS.UPDLL.dll"); //2.获取某一个具体的类:参数需要是类的全名称; Type type = assembly.GetType("EVEDAS.UPDLL.Api.A300"); //3.创建对象 object? oInstance = Activator.Cre
Reflection反射【C#】
cfqq1989的博客
11-07 1685
【代码】反射Reflection。
ReflectiveDLLInjection.zip_PE Loader_brownn4u_inject_加载 pe_反射DL
09-24
反射DLL注入是一种库注入技术,其中采用反射编程的概念来执行从存储器到主进程的库的加载。因此,库负责通过实现最小的可移植可执行文件(PE)文件加载器来加载自身。然后,它可以通过与主机系统和进程的最小交互来...
.Net 对象管理组建
01-26
总的来说,这个.Net组件是一个强大的对象管理工具,它借鉴了Spring框架的优秀设计,结合.Net的反射技术,实现了对象的延迟加载和依赖注入,有助于提升软件的可扩展性和可维护性。开发者可以通过阅读提供的使用说明,...
ASPNetMVC模块化开发.rar
08-06
4. **动态加载Dll**:ASP.NET MVC通过反射机制,可以在运行时动态加载和卸载DLL文件,这些DLL通常包含了模块的核心功能。动态加载使得应用程序能够根据需求加载必要的模块,降低了启动时的资源消耗,同时增强了系统...
AspNetWebSecurity:带有修复的漏洞模板
06-20
同时,对输出内容进行HTML编码或使用SafeHtmlHelper防止反射XSS。 6. **SQL注入防护**:使用参数化查询、存储过程或ORM框架如Entity Framework,避免直接拼接SQL语句,减少SQL注入的风险。 7. **HTTPS加密**:...
反射DLL注入--方法
weixin_30859423的博客
11-10 261
使用RWX权限打开目标进程,并为该DLL分配足够大的内存。 将DLL复制到分配的内存空间。 计算DLL中用于执行反射加载的导出的内存偏移量。 调用CreateRemoteThread(或类似的未公开的API函数RtlCreateUserThread)在远程进程中开始执行,使用反射加载函数的偏移地址作为入口点。 反射加载函数使用适当的CPU寄存器查找目标进程的进程环境块(PEB),并使用...
WEB安全:深入反射dll注入技术
2301_76694151的博客
05-16 960
通过调用CreateRemoteThread()/NtCreateThread()/RtlCreateUserThread()函数在被注入进程创建线程进行dll注入。通过调用QueueUserAPC()/SetThreadContext()函数来劫持被注入进程已存在的线程加载dll。通过调用SetWindowsHookEx()函数来设置拦截事件,在发生对应的事件时,被注入进程执行拦截事件函数加载dll。获取被注入进程PID。在注入进程的访问令牌中开启SE_DEBUG_NAME权限。
Dll反射注入法-代码学习
yshshx的博客
11-24 1048
原理 --------------------------------------------------------------------------------有任何错误,请留言指正。 主要功能:将需要注入dll写入进程内存,用注射器实现LoadLibrary的功能,使用CreateRemoteThread函数将注射器启动。 将待注入DLL读入自身内存,Dll的导出注射器Reflecti...
C#使用反射(Reflect)获取DLL文件中的类,创建对象并调用对象的方法。
sxg123的博客
11-28 1096
Activator.CreateInstance(Type type) 这是一个通用的实例化对象方法,可以创建任意类的对象。我们只需要将要创建的对象的类作为参数传递给Activator.CreateInstance方法即可。返回的是一个object类的实例,需要进行类转换后才能调用具体的成员。Type.GetConstructor(Type[] types).Invoke(object[] parameters) 这种方式通过构造函数来实例化对象。首先,我们需要使用Type.GetConstruct
C# Assembly 反射动态加载程序集(动态加载Dll)Demo
weixin_46681279的博客
07-27 1809
No2、在另外两个工程中,分别定义两个类serviceToolCatComplete、serviceToolDogComplete实现接口IserviceToolFrame。No3、控制台程序通过动态加载Dll的方式去调用IserviceToolFrame的实例,输出不同的内容。No1、本Demo 定义了一个接口IserviceToolFrame,接口中有一个方法Run。
【鸿蒙HarmonyOS NEXT】调用后台接口及List组件渲染
最新发布
若兰幽竹
09-06 624
调用后台接口,需要引入http模块或者其他诸如Ajax、axios等网络请求模块;如果是需要在页面被创建的时候调用后台接口,则需要在aboutToAppear()中进行调用,如需要在页面显示时需要调用后台接口加载数据,则可以在onPageShow()函数中进行调用。根据实际业务结合组件的生命周期进行合适的调用;如使用JSON.parse报错Structural typing is not supported (arkts-no-structural-typing),其原因是引入。
PHP面试技巧:深度解析反射注入依赖注入
反射注入是依赖注入(Dependency Injection)的一种实现方式,它通过反射机制动态地将依赖关系注入到对象中,提高了代码的灵活性和可测试性。 首先,我们需要了解什么是反射。在PHP中,`ReflectionClass` 类是反射...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tntlbb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值