DeathSleep技术：通过消除堆栈绕过EDR检测的深入解析<\/h1>

摘要<\/h2>
本文详细解析了一种新型EDR(终端检测与响应)绕过技术——DeathSleep，该技术基于"如果堆栈不存在，就没有必要伪造堆栈"的创新思路。该技术通过终止当前线程并在执行前恢复它，有效规避了现代EDR系统对线程堆栈的扫描检测。本文将从上下文恢复过程、调度恢复过程等核心环节进行深入剖析，并提供完整的技术实现细节。<\/p>

技术背景<\/h2>
现代C2(Command and Control)框架普遍实现了睡眠机制，而EDR产品(如Elastic EDR)则发展出了在睡眠期间或调用敏感API时扫描线程堆栈的检测技术。传统的内存加密和堆栈欺骗技术已广为人知，而DeathSleep技术则提供了一种全新的绕过思路。<\/p>

上下文恢复过程<\/h2>

核心思想<\/h3>

终止当前线程并在执行前恢复它，使EDR无法扫描到有效的线程堆栈。实现这一目标需要保存两样关键数据：<\/p>

CPU状态(通过线程上下文)<\/li>

堆栈内容<\/li> <\/ol>

实现步骤<\/h3>

Hook Sleep函数<\/strong>：在beacon睡眠期间跳转到自定义的SleepHook函数<\/li>

保存执行上下文<\/strong>：

使用RtlCaptureContext<\/code>函数捕获调用方上下文<\/li>
修改RIP寄存器指向DeathSleep<\/code>的返回地址<\/li>
计算并保存堆栈结构<\/li> <\/ul> <\/li> <\/ol> \/\/ 修改RIP指向DeathSleep的返回地址 <\/span><\/span><\/span><\/span>threadCtxBackup.Rip =<\/span> *<\/span>(PDWORD64)(threadCtxBackup.Rsp +<\/span> stackFrameSize); <\/span><\/span> <\/span><\/span>\/\/ 计算并保存堆栈 <\/span><\/span><\/span><\/span>stackBackupSize =<\/span> initialRsp -<\/span> (threadCtxBackup.Rsp +<\/span> stackFrameSize +<\/span> 0x8<\/span>); <\/span><\/span>stackBackup =<\/span> malloc(stackBackupSize +<\/span> 0x150<\/span>); <\/span><\/span>memcpy(stackBackup, (PVOID)(initialRsp -<\/span> (DWORD64)stackBackupSize), stackBackupSize +<\/span> 0x150<\/span>); <\/span><\/span><\/code><\/pre>关键技术挑战与解决方案<\/h3> 进程保持运行<\/strong>：<\/p> 初始方案：while(TRUE)<\/code>循环<\/li> 优化方案：WaitForSingleObject((HANDLE)-1, INFINITE)<\/code><\/li> <\/ul> <\/li> 堆栈结构分析<\/strong>：<\/p> 方案一：编译后通过调试器分析并填充变量<\/li> 方案二：使用标记变量并通过Unwind Info获取值<\/li> <\/ul> <\/li> 堆栈恢复<\/strong>：<\/p> 使用汇编获取当前RSP：<\/li> <\/ul> getRSP<\/span> PROC<\/span> <\/span><\/span> mov<\/span> rax<\/span>, rsp<\/span> <\/span><\/span> add<\/span> rax<\/span>, 8<\/span> <\/span><\/span> ret<\/span> <\/span><\/span>getRSP<\/span> ENDP<\/span> <\/span><\/span><\/code><\/pre> 解决函数调用破坏恢复堆栈：移动awake函数并修改RSP<\/li> <\/ul> <\/li> <\/ol> 调度恢复过程<\/h2> 线程池技术应用<\/h3> 使用Windows线程池API管理任务执行，相比传统线程管理具有以下优势：<\/p> 自动管理线程生命周期<\/li> 无需手动创建\/销毁线程<\/li> 支持任务队列和调度<\/li> <\/ul> 线程池初始化关键点<\/h4> 使用CreateThreadpoolTimer<\/code>等新API替代旧API<\/li> 设置最大线程数确保顺序执行<\/li> 使用CloseThreadPool<\/code>进行清理<\/li> <\/ol> 内存保护修改技术<\/h3> 由于直接调用VirtualProtect<\/code>会导致崩溃，采用以下解决方案：<\/p> 使用NtContinue<\/code>重定向执行：<\/p> 修改RIP指向VirtualProtect<\/code>函数<\/li> 设置四个寄存器传递参数<\/li> 解决RSP定位问题： RtlCaptureContext(&<\/span>ctx); <\/span><\/span>ctx.Rsp +=<\/span> 8<\/span>; \/\/ 指向返回地址 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 多阶段恢复问题：<\/p> 在新线程中再次使用RtlCaptureContext<\/code><\/li> 使用ROP链构建执行流<\/li> <\/ul> <\/li> <\/ol> 线程池API深度分析<\/h3> 研究发现不同线程池API的参数传递机制差异：<\/p> CreateThreadpoolTimer<\/code>是TpAllocTimer<\/code>的包装<\/li> SetThreadpoolTimer<\/code>是TpSetTimer<\/code>的转发<\/li> CreateTimerQueueTimer<\/code>内部调用RtlCreateTimer<\/code>，后者又调用TpAllocTimer<\/code>和TpSetTimer<\/code><\/li> <\/ol> 回调函数实际由RtlpTpTimerCallback<\/code>处理，它会重新组织参数顺序，因此需要特殊调用方式适配。<\/p> 技术优势与创新点<\/h2> 彻底规避堆栈扫描<\/strong>：通过消除而非伪造堆栈，从根本上规避检测<\/li> 资源高效<\/strong>：精确控制线程生命周期，避免资源浪费<\/li> 稳定性强<\/strong>：完善的上下文保存与恢复机制<\/li> 兼容性好<\/strong>：适配多种线程池API实现<\/li> <\/ol> 实现注意事项<\/h2> 确保在所有执行路径上正确保存和恢复上下文<\/li> 注意不同Windows版本线程池API的差异<\/li> 精确计算堆栈空间，避免内存破坏<\/li> 处理异常情况下的资源释放<\/li> <\/ol> 参考资源<\/h2> 项目地址：https:\/\/github.com\/janoglezcampos\/DeathSleep<\/a><\/li> Ekko项目：https:\/\/github.com\/Cracked5pider\/Ekko<\/a><\/li> 原始研究：https:\/\/twitter.com\/httpyxel<\/a><\/li> <\/ol> 结论<\/h2> DeathSleep技术代表了一种新型的EDR绕过思路，通过创新的"无堆栈"方法有效规避了现代安全产品的检测机制。该技术结合了精细的上下文操作、线程池管理和内存保护修改等多种技术，为红队操作提供了强有力的隐蔽执行能力。理解并掌握这一技术对于安全研究人员和渗透测试人员都具有重要意义。<\/p>