windows下进程注入的各种技术汇总、代码示例和检测思考
注入类型 C++代码实现链接和检测思考 检测优先级 备注
Portable Executable Injection - PE注入 https://www.cnblogs.com/bonelee/p/17719649.html 高 核心还是创建远程线程,不过有PE重定位表的修复
Thread Execution Hijacking -线程执行劫持 https://www.cnblogs.com/bonelee/p/17714301.html 高 属于较为高明的注入方式,需要配合shellcode,并且api的监控看,容易误报,也是最难防御
Dynamic-link Library Injection - DLL注入 https://www.cnblogs.com/bonelee/p/16761748.html 高 核心还是创建远程线程
Asynchronous Procedure Call - 匿名过程调用 https://www.cnblogs.com/bonelee/p/17705390.html 高 线程挂起,queuserapc调用,alertable再resumethread
Thread Local Storage - 线程本地存储 https://www.cnblogs.com/bonelee/p/17715026.html 中 单独做进程注入较少,需配合其他技术,例如进程进程掏空等
Extra Window Memory Injection - 额外的windows内存注入 https://www.cnblogs.com/bonelee/p/17719275.html 低 2013年的过时攻击,限制大,利用用户自定义的windows窗口数据注入恶意代码
Process Hollowing - 进程掏空 https://www.cnblogs.com/bonelee/p/17589903.html 高 非常实用的注入技术,本质上掏空就是在操作PE的加载,NtUnmapViewOfSection是核心
Process Doppelganging https://www.cnblogs.com/bonelee/p/17717898.html 中 限制较多,win7可以,win11不行,属于滥用NTFS回滚事务
ListPlanting https://www.cnblogs.com/bonelee/p/17718029.html 中 限制较多,属于滥用listview控件的消息回调函数
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2019-09-21 Charles 4.2.1 HTTPS抓包
2019-09-21 ARP欺骗
2018-09-21 LSTM CNN GRU DGA比较
2018-09-21 识别User Agent屏蔽一些Web爬虫防采集
2017-09-21 MDNS的漏洞报告——mdns的最大问题是允许广域网的mdns单播查询,这会暴露设备信息,或者被利用用于dns放大攻击
2017-09-21 威胁报告:mDNS 反射式 DDoS 攻击
2017-09-21 基于UDP的DDos反射放大攻击