反射型DLL注入(RDI)技术详解<\/h1>

什么是反射型DLL注入<\/h2>
反射型DLL注入(Reflective DLL Injection, RDI)是一种在远程进程中加载DLL而不依赖Windows API `LoadLibrary<\/code>的技术。该技术由Stephen Fewer开发，项目地址为：https:\/\/github.com\/stephenfewer\/ReflectiveDLLInjection<\/p>`

与传统DLL注入的区别<\/h3>


传统DLL注入：<\/p>

使用LoadLibrary<\/code>或LoadLibraryEx<\/code>加载DLL<\/li>
依赖Windows API<\/li>
可能被安全软件检测<\/li>
<\/ul>
<\/li>

反射型DLL注入：<\/p>

不依赖LoadLibrary<\/code><\/li>
DLL自行完成加载过程<\/li>
更隐蔽，更难被检测<\/li>
<\/ul>
<\/li>
<\/ol>
反射型DLL的工作原理<\/h2>
反射型DLL是一种特殊类型的DLL，能够自行完成加载并在目标进程内存中执行。其核心流程如下：<\/p>

将DLL写入目标进程内存<\/li>
执行DLL的导出函数进行加载<\/li>
加载过程包括：

PE文件拉伸<\/li>
重定位表修复<\/li>
导入表修复<\/li>
设置内存权限<\/li>
执行DllMain<\/li>
<\/ul>
<\/li>
<\/ol>
反射型DLL的特点<\/h3>

通常只有一个导出函数（用于加载自身）<\/li>
导出函数必须是位置无关代码（PIC）<\/li>
需要手动解析PEB获取API函数地址<\/li>
不依赖Windows的DLL加载机制<\/li>
<\/ol>
创建反射型DLL<\/h2>
1. 获取关键API函数<\/h3>
由于反射型DLL需要位置无关代码，必须手动解析PEB获取关键API：<\/p>
\/\/ 解析PEB流程
<\/span><\/span><\/span><\/span>1.<\/span> 通过<\/span>FS\/<\/span>GS寄存器获取<\/span>TEB地址<\/span>
<\/span><\/span>2.<\/span> 从<\/span>TEB获取<\/span>PEB地址<\/span>
<\/span><\/span>3.<\/span> 遍历<\/span>PEB的<\/span>LDR链表查找模块<\/span>
<\/span><\/span>4.<\/span> 通过比较<\/span>hash获取指定模块地址（<\/span>kernel32.dll\/<\/span>ntdll.dll）<\/span>
<\/span><\/span>5.<\/span> 解析模块导出表获取函数地址<\/span>
<\/span><\/span><\/code><\/pre>关键需要获取的API：<\/p>

LoadLibraryA<\/code><\/li>
GetProcAddress<\/code><\/li>
VirtualAlloc<\/code><\/li>
VirtualProtect<\/code><\/li>
NtFlushInstructionCache<\/code>（可选）<\/li>
RtlAddFunctionTable<\/code>（异常处理需要）<\/li>
<\/ul>
2. PE文件操作<\/h3>
反射型DLL需要处理以下PE结构：<\/p>


PE拉伸<\/strong>：<\/p>

将DLL从磁盘格式转换为内存格式<\/li>
处理节区对齐<\/li>
<\/ul>
<\/li>

导入表修复<\/strong>：<\/p>

加载依赖的DLL<\/li>
解析IAT并填充函数地址<\/li>
<\/ul>
<\/li>

重定位表修复<\/strong>：<\/p>

处理DLL在内存中的重定位<\/li>
修正地址偏移<\/li>
<\/ul>
<\/li>

异常表修复<\/strong>（可选）：<\/p>

使用RtlAddFunctionTable<\/code>注册异常处理<\/li>
<\/ul>
<\/li>
<\/ol>
3. 构建导出函数<\/h3>
反射型DLL的导出函数（通常命名为ReflectiveLoader<\/code>）需要完成以下工作：<\/p>
DWORD WINAPI ReflectiveLoader<\/span>(LPVOID lpParameter) {
<\/span><\/span>    \/\/ 1. 动态获取所需WinAPI
<\/span><\/span><\/span><\/span>    \/\/ 2. 申请内存空间存储反射DLL
<\/span><\/span><\/span><\/span>    \/\/ 3. 执行PE拉伸
<\/span><\/span><\/span><\/span>    \/\/ 4. 修复重定位表
<\/span><\/span><\/span><\/span>    \/\/ 5. 修复导入表
<\/span><\/span><\/span><\/span>    \/\/ 6. 设置内存权限
<\/span><\/span><\/span><\/span>    \/\/ 7. 调用DllMain
<\/span><\/span><\/span><\/span>    \/\/ 8. 返回DLL基址
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>注入器(Injector)实现<\/h2>
注入器负责将反射型DLL加载到目标进程：<\/p>


写入DLL到目标进程<\/strong>：<\/p>

使用VirtualAllocEx<\/code>分配内存<\/li>
使用WriteProcessMemory<\/code>写入DLL数据<\/li>
<\/ul>
<\/li>

执行反射加载<\/strong>：<\/p>

找到DLL中的ReflectiveLoader<\/code>函数地址<\/li>
使用CreateRemoteThread<\/code>或类似API执行该函数<\/li>
<\/ul>
<\/li>
<\/ol>
改进的反射型DLL注入技术<\/h2>
Disman提出的改进方案（https:\/\/disman.tl\/2015\/01\/30\/an-improved-reflective-dll-injection-technique.html）增加了以下功能：<\/p>


支持参数传递：<\/p>

复制参数到DLL后的内存中<\/li>
创建引导shellcode调用ReflectiveLoader<\/code><\/li>
<\/ul>
<\/li>

改进的导出函数签名：<\/p>
<\/li>
<\/ol>
DWORD WINAPI ReflectiveLoader<\/span>(
<\/span><\/span>    LPVOID lpParameter,         \/\/ 原始参数
<\/span><\/span><\/span><\/span>    LPVOID lpLibraryAddress,    \/\/ DLL内存地址
<\/span><\/span><\/span><\/span>    DWORD dwFunctionHash,       \/\/ 可选函数hash
<\/span><\/span><\/span><\/span>    LPVOID lpUserData,          \/\/ 用户数据
<\/span><\/span><\/span><\/span>    DWORD nUserdataLen          \/\/ 用户数据长度
<\/span><\/span><\/span><\/span>);
<\/span><\/span><\/code><\/pre>
Shellcode实现：

x86：压栈传入参数，调用ReflectiveLoader<\/code>，执行ExitThread<\/code><\/li>
x64：需要额外分配0x20影子空间<\/li>
<\/ul>
<\/li>
<\/ol>
技术优势与防御<\/h2>
优势：<\/h3>

不依赖LoadLibrary<\/code>，规避API监控<\/li>
无磁盘文件操作，规避文件监控<\/li>
加载过程完全在内存中完成<\/li>
可绕过部分杀毒软件的检测<\/li>
<\/ol>
防御措施：<\/h3>

监控异常的内存分配行为<\/li>
检测远程线程创建<\/li>
分析进程内存中的PE结构异常<\/li>
监控反射加载常见的行为模式<\/li>
<\/ol>
实际应用注意事项<\/h2>


DllMain中的操作<\/strong>：<\/p>

RDI不存在传统DLL加载的死锁问题<\/li>
可以在DllMain中执行任意操作<\/li>
<\/ul>
<\/li>

异常处理<\/strong>：<\/p>

如果需要异常处理，必须获取RtlAddFunctionTable<\/code><\/li>
否则DLL中的异常将无法正确处理<\/li>
<\/ul>
<\/li>

缓存清除<\/strong>：<\/p>

使用NtFlushInstructionCache<\/code>清除执行缓存<\/li>
确保修改后的代码能够正确执行<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
反射型DLL注入是一种强大的代码注入技术，相比传统方法更加隐蔽和灵活。理解其原理不仅有助于红队开发免杀工具，也能帮助蓝队更好地防御此类攻击。在实际应用中，需要根据具体场景调整实现细节，平衡隐蔽性和功能性。<\/p>

反射型DLL注入(RDI)技术详解<\/h1>

什么是反射型DLL注入<\/h2> 反射型DLL注入(Reflective DLL Injection, RDI)是一种在远程进程中加载DLL而不依赖Windows API LoadLibrary<\/code>的技术。该技术由Stephen Fewer开发，项目地址为：https:\/\/github.com\/stephenfewer\/ReflectiveDLLInjection<\/p>

创建反射型DLL<\/h2>

技术优势与防御<\/h2>

什么是反射型DLL注入<\/h2>
反射型DLL注入(Reflective DLL Injection, RDI)是一种在远程进程中加载DLL而不依赖Windows API `LoadLibrary<\/code>的技术。该技术由Stephen Fewer开发，项目地址为：https:\/\/github.com\/stephenfewer\/ReflectiveDLLInjection<\/p>`