反射型DLL注入

于 2023-11-02 16:38:57 发布
阅读量129 收藏
点赞数
文章标签: windows 网络安全 汇编 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51409218/article/details/134186044
版权

1.什么是DLL注入技术?

让进程主动加载指定DLL的技术

1.1常见的DLL注入技术容易被检测到

需要恶意DLL以文件的形式存在于目标主机,留痕容易被检测到

1.2反射式DLL注入的优点体现在什么方面?

恶意DLL可以通过Socket等方式直接传输到目标进程内存并加载,无文件落地

1.3根本区别在于常规的DLL注入中,恶意DLL会在目标主机上出现

而反射型DLL利用自编写的函数实现直接的内存映射,无额外的DLL落地

2.常规的DLL注入的实现思路

2.1实现思路

  • 在被注入进程中创建线程进行DLL注入,使用到的API函数包括CreateRemoteThread()/NtCreateThread()/RtCreateUserThread()
    • 实现思路如下:
        1. 获取被注入进程的PID
        2. 在被注入进程的访问令牌中开启SE_DEBUG_NAME权限(允许一个进程打开并访问其他进程调试信息的权限)
        3. 使用openOpenProcess()函数获取目标进程的句柄
        4. 使用VirtualAllocEx()函数在被注入进程内开辟缓冲区并使用WriteProcessMemory()函数写入DLL路径的字符串
        5. 使用GetProcAddress()函数在当前进程加载的kernel32.dll找到LoadLibraryA函数的地址
        6. 通过CreateRemoteThread()函数调用LoadLibraryA()函数,在被注入进程新启动一个新的线程,新的线程来加载恶意的DLL

    • 劫持被注入进程已存在的线程加载DLL,使用到的API函数包括QueueUserAPC()/SetThreadContext()
    • 设置钩子拦截事件,SetWindowsHookEx()

3反射型DLL的实现思路

3.1根本区别

反射式DLL注入自己实现了一个reflective loader()函数来代替系统kernel32.dll中 的LoadLibrary函数去加载DLL

3..2reflective loader的实现思路(内存映射)

      1. 获取被注入进程尚未解析的DLL的基地址
      2. 获取DLL句柄和函数
      3. 分配新内存去取解析DLL,将PE头和各个节复制到新内存中
      4. 修复导入表和重定向表
      5. 执行DLLMain()函数

4.反射型DLL的检测方法

4.1内存扫描-----扫描策略

1.Hook敏感API,当发生敏感API调用序列时,对注入进程和被注入进程进行内存扫描

2.内存完整性扫描,内存完整性校验或hash值比对

4.2可能的监测点

1.强特征匹配_ReturnAddress()函数

rule StrongFeature_ReturnAddress
{
strings:
$function = "ReturnAddress()"

condition:
$function
}

2.扫描DLL注入过程中特定的HASH函数和hash值

计算HASH值的工具

Hasher

3.整体检测DLL注入,检测DLL注入前后的PE文件

文件差异工具

WinMerge WinMerge - You will see the difference…

Beyond Compare 下载 | Beyond Compare 中文官方网站

5.反思

免杀方式和应对策略

1.避免调用直接的API,转向系统调用,成功绕过用户态HOOk

对于内核态的HOOK可以解决

2.不直接将权限全部放开,而是只修改为rx,成功了绕过对rwx权限修改的成功匹配

    1. 擦除nt头和dos头。这种免杀方式会直接让检测点4)影响较大,不能简单的校验pe头了,需要加入更精确的确定两个dll的文件,比如说,首先通过读取未解析的dll的SizeOfImage的大小,然后去找此大小的内存块,然后对比代码段是否一致,去判断是否为同一pe文件。
    2. 抹除未解析pe文件的内存。这种免杀方式会导致检测点4)彻底失效,这种情况下我们只能对reflectiveloader()函数进行检测。
    3. 抹除reflectiveloader()函数的内存。这里就比较难检测了。但是也是有检测点的,这里关键是如何确定这块内存是pe结构,重建pe结构之后,我们可以通过导出表去看导出函数是否被抹除。

参考文献:深入理解反射式dll注入技术 - SecPulse.COM | 安全脉搏

https://www.youtube.com/watch?v=p-ufU9W1i7Q&list=RDLVp-ufU9W1i7Q&index=2

tntlbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Reflective DLL Injection(字面翻译:反射dll注入)
GaA.Ra的自留地 in Csdn
06-06 8799
      这两天把印度佬的metasploit视频看完了.带着印度口音的英语伤不起啊(请自己想象生活大爆炸里Rajesh),但是这个印度佬的口音特别重,-___-,脑海里久久回荡着印度腔英语......     为什么会提到Reflective DLL Injection,看Metasploit Unleashed,里面提到神器meterpreter和vnc injection都是利用这
反射dll注入(ReflectiveDLLInjection)
随心动,随风行
04-30 3718
学习基于stephenfewer大佬的项目:ReflectiveDLLInjection 有兴趣的同学可以下载研究
反射Dll注入
dre4merp
05-17 821
上一篇我们介绍了CreateRemoteThread+LoadLibrary进行注入的技巧。但是这种方法实在是太过格式化,所以几乎所有的安全软件都会监控这种方法。所以HarmanySecurity的Stephen Fewer提出了ReflectiveDLL Injection,也就是反射DLL注入。 其和CreateRemoteThread一样也是分为两部分,注入器和注入DLL。但是注入DLL的装载由我们自主实现,由于反射注入方式并没有通过LoadLibrary等API来完成DLL的装载,DLL并没有
【ReflectDllInjection】 反射DLL注入
dr0op's blog
04-06 3106
常规dll注入 这里引用一张图来表示: 反射DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
反射dll注入
摔不死的笨鸟的博客
08-27 6331
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
Doge-sRDI:Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-...
Windows 反射注入DLL
12-13
Windows 反射注入DLL Windows 反射注入DLL Windows 反射注入DLL
JavaScript反射与依赖注入实例详解
10-18
主要介绍了JavaScript反射与依赖注入,结合实例形式较为详细的分析了JavaScript反射与依赖注入的概念、原理、定义、使用方法及相关操作注意事项,需要的朋友可以参考下
Phage:反射DLL注入式过程感染器
04-29
PoC过程感染者使用反射DLL注入样式感染另一个进程。 受到我以前的项目Lynx启发。 而不是注入DLL,而是注入可执行文件本身。
反射与依赖注入DEMO
07-10
最近在熟悉反射与依赖注入,特意写了一下简单的实例,希望可以帮助到你我他
利用反射动态加载dll
11-03
C#,利用反射动态加载dlldll需要在sql server数据库里面进行维护,加载的时候先去读取数据库里面的信息,查到dll的名称。并根据名称去程序里面直接去抓取,并显示在界面上
很不错的反射Dll工具 -- Reflector
02-11
一个很不错的反射Dll工具。可以很清晰的看到里面的属性方法。尤其对c#语言的写的。
反射DLL注入--方法
weixin_30859423的博客
11-10 250
使用RWX权限打开目标进程,并为该DLL分配足够大的内存。 将DLL复制到分配的内存空间。 计算DLL中用于执行反射加载的导出的内存偏移量。 调用CreateRemoteThread(或类似的未公开的API函数RtlCreateUserThread)在远程进程中开始执行,使用反射加载函数的偏移地址作为入口点。 反射加载函数使用适当的CPU寄存器查找目标进程的进程环境块(PEB),并使用...
Dll反射注入法-代码学习
yshshx的博客
11-24 1025
原理 --------------------------------------------------------------------------------有任何错误,请留言指正。 主要功能:将需要注入dll写入进程内存,用注射器实现LoadLibrary的功能,使用CreateRemoteThread函数将注射器启动。 将待注入DLL读入自身内存,Dll的导出注射器Reflecti...
反射DLL注入
r250414958的博客
02-28 791
项目地址:https://github.com/stephenfewer/ReflectiveDLLInjection 很早的技术了,现在很容易就会被拦截干掉,但总归给我们提供了一些很好的思路,非常值得学习,说不定经过大牛的改造,也能老树开花。 ...
利用反射进行动态加载dll
xiaoqiaoluanwu的博客
11-23 1248
/// /// 短信发送接口实现工厂 /// public static class EosSMSProviderFactory { public static bool InitProvider() { IEosSMSProvider provider = GetProvider();
Reflective DLL Injection(反射dll注入)
thesum的专栏
02-01 710
http://blog.csdn.net/gaara_fan/article/details/6528359
反射加载dll 执行方法
xinyanan1992的博客
09-18 908
//加载程序集(dll文件地址),使用Assembly类 string path = AppDomain.CurrentDomain.BaseDirectory + "operation.dll"; Assembly assembly = Assembly.LoadFile(path); //获
[web安全]深入理解反射dll注入技术
HBohan的博客
03-23 2046
一、前言 dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。 常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安全产品检测到。为了弥补这个缺陷,stephen fewer提出了反射dll注入技术并在github开源,反
使用c语言编写一个反射dll 注入的程序,并附带一个dll的模板
最新发布
07-09
当涉及到 DLL 注入反射注入方法时可以使用 C 语言编写一个程序来实现。下是一个示例程序,它演示了如何使用反射注入DLL 注入到目标进程中: ```c #include <stdio.h> #include <windows.h> // 反射注入 DLL 的函数 BOOL ReflectiveDllInjection(LPVOID lpDllBuffer) { // 获取当前进程的基址 HMODULE hModule = GetModuleHandle(NULL); // 获取当前进程的 DOS 头 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; // 获取当前进程的 NT 头 PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD_PTR)hModule + pDosHeader->e_lfanew); // 获取当前进程的映像基址 LPVOID pImageBase = (LPVOID)pNtHeaders->OptionalHeader.ImageBase; // 获取当前进程的入口点函数地址 LPVOID pEntryPoint = (LPVOID)((DWORD_PTR)pImageBase + pNtHeaders->OptionalHeader.AddressOfEntryPoint); // 为反射注入分配内存 LPVOID pRemoteImageBase = VirtualAllocEx(GetCurrentProcess(), NULL, pNtHeaders->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); // 将当前进程的映像基址复制到目标进程中 WriteProcessMemory(GetCurrentProcess(), pRemoteImageBase, pImageBase, pNtHeaders->OptionalHeader.SizeOfImage, NULL); // 将 DLL 缓冲区写入到目标进程中 WriteProcessMemory(GetCurrentProcess(), (LPVOID)((DWORD_PTR)pRemoteImageBase + ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.ImageBase), lpDllBuffer, ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.SizeOfImage, NULL); // 更新目标进程的导入表 PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD_PTR)pRemoteImageBase + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); while (pImportDesc->Name != 0) { HMODULE hDll = LoadLibraryA((LPCSTR)((DWORD_PTR)pRemoteImageBase + pImportDesc->Name)); PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((DWORD_PTR)pRemoteImageBase + pImportDesc->FirstThunk); while (pThunk->u1.Function != 0) { DWORD_PTR pFunc = (DWORD_PTR)GetProcAddress(hDll, (LPCSTR)pThunk->u1.Function); WriteProcessMemory(GetCurrentProcess(), &pThunk->u1.Function, &pFunc, sizeof(DWORD_PTR), NULL); pThunk++; } pImportDesc++; } // 创建远程线程来运行目标进程的入口点函数 HANDLE hThread = CreateRemoteThread(GetCurrentProcess(), NULL, 0, (LPTHREAD_START_ROUTINE)pEntryPoint, pRemoteImageBase, 0, NULL); if (hThread == NULL) { return FALSE; } WaitForSingleObject(hThread, INFINITE); // 清理内存 VirtualFreeEx(GetCurrentProcess(), pRemoteImageBase, 0, MEM_RELEASE); return TRUE; } int main() { // 读取 DLL 文件 FILE* fp = fopen("dll_template.dll", "rb"); if (fp == NULL) { printf("无法打开 DLL 文件!\n"); return 1; } // 获取 DLL 文件的大小 fseek(fp, 0, SEEK_END); long fileSize = ftell(fp); fseek(fp, 0, SEEK_SET); // 分配内存来存储 DLL 文件数据 LPVOID lpDllBuffer = malloc(fileSize); // 读取 DLL 文件数据到内存中 fread(lpDllBuffer, fileSize, 1, fp); // 关闭文件 fclose(fp); // 执行反射注入 if (ReflectiveDllInjection(lpDllBuffer)) { printf("DLL 注入成功!\n"); } else { printf("DLL 注入失败!\n"); } // 释放内存 free(lpDllBuffer); return 0; } ``` 上述示例程序中,你需要将要注入DLL 文件命名为 "dll_template.dll",并与程序放在同一目录下。然后编译并运行程序,它将尝试将该 DLL 注入到目标进程中。 请注意,反射注入的程序需要具有管理员权限才能成功运行。此外,反射注入可能会受到一些安全软件的检测,因为它使用了一些与恶意软件类似的技术。 希望这个示例程序能帮助到你!如有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tntlbb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值