windows下进程注入的各种技术汇总、代码示例和检测思考
注入类型 C++代码实现链接和检测思考 检测优先级 备注
Portable Executable Injection - PE注入 https://www.cnblogs.com/bonelee/p/17719649.html 高 核心还是创建远程线程,不过有PE重定位表的修复
Thread Execution Hijacking -线程执行劫持 https://www.cnblogs.com/bonelee/p/17714301.html 高 属于较为高明的注入方式,需要配合shellcode,并且api的监控看,容易误报,也是最难防御
Dynamic-link Library Injection - DLL注入 https://www.cnblogs.com/bonelee/p/16761748.html 高 核心还是创建远程线程
Asynchronous Procedure Call - 匿名过程调用 https://www.cnblogs.com/bonelee/p/17705390.html 高 线程挂起,queuserapc调用,alertable再resumethread
Thread Local Storage - 线程本地存储 https://www.cnblogs.com/bonelee/p/17715026.html 中 单独做进程注入较少,需配合其他技术,例如进程进程掏空等
Extra Window Memory Injection - 额外的windows内存注入 https://www.cnblogs.com/bonelee/p/17719275.html 低 2013年的过时攻击,限制大,利用用户自定义的windows窗口数据注入恶意代码
Process Hollowing - 进程掏空 https://www.cnblogs.com/bonelee/p/17589903.html 高 非常实用的注入技术,本质上掏空就是在操作PE的加载,NtUnmapViewOfSection是核心
Process Doppelganging https://www.cnblogs.com/bonelee/p/17717898.html 中 限制较多,win7可以,win11不行,属于滥用NTFS回滚事务
ListPlanting https://www.cnblogs.com/bonelee/p/17718029.html 中 限制较多,属于滥用listview控件的消息回调函数