【加密与解密（第四版）】第十二章笔记

第十二章 注入技术

12.1 DLL注入方法

在通常情况下，程序加载 DLL的时机主要有以下3个：一是在进程创建阶段加载输入表中的DLL，即俗称的“静态输人”;二是通过调用 LoadLibrary(Ex)主动加载，称为“动态加载”；三是由于系统机制的要求，必须加载系统预设的一些基础服务模块，例如Shell扩展模块、网络服务接口模块或输人法模块等。因此，在进行 DLL注人时，也不外乎通过这3种手段进行。

静态修改PE输入表法、进程创建期修改PE输入表法（以挂起方式创建目标进程、获取目标进程中的PE结构信息、获取原IID大小，增加一项，搜索可用的节空隙、构造新的IID及与其相关的OriginalFirstThunk,Name,FirstThunk结构、修正PE映像头、更新目标进程的内存、继续运行主进程）、输入表项DLL替换法（DLL劫持）

CreateRemoteThread法、RtlCreateUserThread法、APC注入、SetThreadContext法、WriteProcessMemory

SetWindowHookEx消息钩子……

12.2 DLL注入的应用

驱动层防范：1.KeUserModeCallback防全局消息钩子注入、

NtMapViewOfSection/LoadImageNotify 对模块进行验证、拦截进程打开、读、写，以及创建远线程、发送 APC 等操作、Call Stack 检测非法模块

应用层防范：通过 Hook LoadLibraryEx函数防范全局钩子、输入法注入、在DllMain中防御远程线程、枚举并查找当前进程中的非法模块和可疑内存、Hook ntdll中的底层函数进行 Call Stack 检测

这一章内容博大精深，要学不完力