主动堆栈欺骗技术详解<\/h1>

1. 核心概念<\/h2>
主动堆栈欺骗(Active Stack Spoofing)是一种高级的反调试和反检测技术，其核心在于通过伪造多个栈帧，使栈回溯时呈现出函数被多次调用的假象，而实际上这些调用并未真实发生。<\/p>

关键特点：<\/h3>

伪造多个栈帧结构<\/li>
修改RSP寄存器指向伪造的栈帧<\/li>
利用系统函数的固定偏移量<\/li>

保持堆栈平衡以避免崩溃<\/li> <\/ul>

2. 基本原理<\/h2>

2.1 栈帧结构<\/h3>

在x64架构中，函数调用时：<\/p>

调用者将返回地址压入栈中<\/li>
被调用函数通常通过sub rsp, X<\/code>分配栈空间<\/li>

函数返回时通过add rsp, X<\/code>释放空间并ret<\/code>返回<\/li>
<\/ol>
2.2 伪造原理<\/h3>

手动构造看似合法的栈帧<\/li>
将RSP指向伪造的栈帧顶部<\/li>
包含伪造的返回地址链<\/li>
保持堆栈平衡（分配与释放的空间一致）<\/li>
<\/ol>
3. 技术实现细节<\/h2>
3.1 准备工作<\/h3>


获取关键函数地址<\/strong>：<\/p>

RtlUserThreadStart<\/code>及其偏移量（示例中为+0x21）<\/li>
BaseThreadInitThunk<\/code><\/li>
目标函数地址（如printf<\/code>）<\/li>
<\/ul>
<\/li>

计算栈空间大小<\/strong>：<\/p>

通过.pdata<\/code>段的PRUNTIME_FUNCTION<\/code>和UNWIND_INFO<\/code>解析<\/li>
处理各种UWOP_*<\/code>操作码计算总栈大小<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 关键数据结构<\/h3>
typedef<\/span> struct<\/span> _UNWIND_HISTORY_TABLE {
<\/span><\/span>    ULONG Count;
<\/span><\/span>    UCHAR Search;
<\/span><\/span>    ULONG LowAddress;
<\/span><\/span>    ULONG HighAddress;
<\/span><\/span>    PRUNTIME_FUNCTION Entry[MAX_UNWIND_HISTORY_TABLE_ENTRIES];
<\/span><\/span>} UNWIND_HISTORY_TABLE, *<\/span>PUNWIND_HISTORY_TABLE;
<\/span><\/span><\/code><\/pre>3.3 栈空间计算逻辑<\/h3>

检查pRuntimeFunction<\/code>有效性<\/li>
解析UnwindData<\/code>获取PUNWIND_INFO<\/code><\/li>
遍历UnwindCode<\/code>处理不同操作码：

UWOP_PUSH_NONVOL<\/code><\/li>
UWOP_ALLOC_SMALL<\/code><\/li>
UWOP_ALLOC_LARGE<\/code><\/li>
UWOP_SET_FPREG<\/code><\/li>
<\/ul>
<\/li>
处理UNW_FLAG_CHAININFO<\/code>标志的级联函数<\/li>
返回总栈大小（包括8字节返回地址）<\/li>
<\/ol>
4. 具体实现步骤<\/h2>
4.1 跳板准备<\/h3>

查找jmp [rbx]<\/code>指令（机器码\xFF\x23<\/code>）<\/li>
存储跳板地址到p.trampoline<\/code><\/li>
<\/ol>
4.2 Spoof函数实现<\/h3>
Spoof proc
    pop rax                 ; 保存返回地址到rax
    mov rdi, [rsp+20h]      ; 获取结构体指针
    mov rsi, [rsp+28h]      ; 获取目标函数地址
    ; ... 其他实现细节
Spoof endp
<\/code><\/pre>
4.3 参数处理<\/h3>

前四个参数通过rcx, rdx, r8, r9<\/code>传递<\/li>
其余参数通过栈传递（影子空间预留0x20字节）<\/li>
多参数处理：

使用r11<\/code>记录已处理参数数量<\/li>
通过r13<\/code>定位额外参数位置<\/li>
计算所需栈空间并调整rsp<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
4.4 伪造栈帧<\/h3>

分配200字节空间<\/li>
push 0<\/code>截断真实返回地址<\/li>
构造伪造的返回地址链：

RtlUserThreadStart<\/code>帧<\/li>
BaseThreadInitThunk<\/code>帧<\/li>
跳板帧<\/li>
<\/ul>
<\/li>
保存真实返回地址到r12<\/code>（非易失性寄存器）<\/li>
<\/ol>
4.5 执行流程<\/h3>

将跳板地址(jmp rbx<\/code>)压入伪造栈帧顶部<\/li>
执行目标函数(如printf<\/code>)<\/li>
函数返回时跳转到跳板地址<\/li>
通过jmp rbx<\/code>返回到修复代码<\/li>
<\/ol>
5. 关键点解析<\/h2>
5.1 返回地址处理<\/h3>

正常call<\/code>指令会压入返回地址<\/li>
使用jmp<\/code>时需手动压入伪造返回地址<\/li>
通过精确控制rsp<\/code>确保执行流正确返回<\/li>
<\/ul>
5.2 堆栈平衡<\/h3>

每个伪造的栈帧必须保持分配与释放的空间一致<\/li>
考虑影子空间(0x20字节)的影响<\/li>
确保ret<\/code>时rsp<\/code>指向正确的伪造返回地址<\/li>
<\/ul>
5.3 系统调用处理<\/h3>

直接传递syscall<\/code>地址（如pNtAllocateVirtualMemory + 0x12<\/code>）<\/li>
模拟内核函数调用前的准备工作<\/li>
<\/ul>
6. 实际应用示例<\/h2>
6.1 LoudSunRun项目分析<\/h3>

获取printf<\/code>地址<\/li>
查找jmp [rbx]<\/code>跳板<\/li>
计算各函数栈大小<\/li>
构造伪造调用链：
Gadget Frame (jmp rbx)
BaseThreadInitThunk
RtlUserThreadStart
<\/code><\/pre>
<\/li>
<\/ol>
6.2 多参数处理示例<\/h3>
mov r13, rsp
add r13, 30h                ; 定位第七个参数
mov r14, 200h + 8           ; 基础空间 + push 0
add r14, [三个函数栈大小]    ; 添加各函数栈空间
sub r14, 20h                ; 减去影子空间
; ... 参数复制逻辑
<\/code><\/pre>
7. 注意事项<\/h2>


系统版本差异：<\/p>

关键函数偏移量随系统版本变化<\/li>
需动态获取或针对特定版本调整<\/li>
<\/ul>
<\/li>

寄存器使用：<\/p>

使用非易失性寄存器(r12-r15<\/code>)保存关键值<\/li>
易失性寄存器可能在调用中被修改<\/li>
<\/ul>
<\/li>

调试器兼容性：<\/p>

某些汇编写法在x64dbg中不合法<\/li>
依赖汇编器的语法容错能力<\/li>
<\/ul>
<\/li>
<\/ol>
8. 总结<\/h2>
主动堆栈欺骗是一种高级的调用栈操纵技术，通过精心构造伪造的栈帧和精确控制执行流，可以实现：<\/p>

隐藏真实调用链<\/li>
绕过基于栈回溯的检测机制<\/li>
实现更隐蔽的函数调用<\/li>
<\/ul>
关键技术点在于对x64调用约定、栈帧结构和返回机制的深入理解，以及对寄存器、内存布局的精确控制。<\/p>

主动堆栈欺骗技术详解<\/h1>

1. 核心概念<\/h2> 主动堆栈欺骗(Active Stack Spoofing)是一种高级的反调试和反检测技术，其核心在于通过伪造多个栈帧，使栈回溯时呈现出函数被多次调用的假象，而实际上这些调用并未真实发生。<\/p>

2. 基本原理<\/h2>

3. 技术实现细节<\/h2>

4. 具体实现步骤<\/h2>

5. 关键点解析<\/h2>

6. 实际应用示例<\/h2>

1. 核心概念<\/h2>
主动堆栈欺骗(Active Stack Spoofing)是一种高级的反调试和反检测技术，其核心在于通过伪造多个栈帧，使栈回溯时呈现出函数被多次调用的假象，而实际上这些调用并未真实发生。<\/p>