DLL Hollowing攻击与CFG保护机制解析<\/h1>

1. DLL Hollowing攻击技术<\/h2>

1.1 基本概念<\/h3>

DLL Hollowing是一种高级内存注入技术，其核心思路是：<\/p>

利用未被目标进程加载的DLL内存映射空间<\/li>
通过NtMapViewOfSection获取DLL映射基址<\/li>

将payload写入未被加载的DLL内存区域<\/li> <\/ul>

1.2 技术本质<\/h3>

"复用"合法DLL的内存属性标记为Image<\/li>
与系统加载的正常DLL内存特征一致<\/li>

规避传统内存注入检测风险（OpenProcess\/VirtualAllocEx\/WriteProcessMemory\/CreateRemoteThread）<\/li> <\/ul>

1.3 攻击流程<\/h3>

查找未被加载的DLL（通常在system32目录下寻找）<\/li>
将DLL文件加载到目标程序中<\/li>
将内存权限设为PAGE_READWRITE<\/li>

注入shellcode<\/li> <\/ol>

2. CFG保护机制<\/h2>

2.1 CFG基本原理<\/h3>

控制流保护(Control Flow Guard)是Windows针对间接调用的保护机制：<\/p>

间接调用在编译时期目标地址不能确定<\/li>
运行时验证目标地址是否合法<\/li>

严格限制间接调用指令可执行的位置<\/li> <\/ul>

2.2 CFG工作流程<\/h3>

间接调用 → CFG检查函数 → 验证目标地址 → 允许\/拒绝执行
<\/code><\/pre>
2.3 CFG触发特征<\/h3>

程序崩溃错误代码：c0000409（CFG标准异常代码）<\/li>
触发指令：int 29h（Windows快速失败指令）<\/li>
调用链：
KERNEL32!BaseThreadInitThunk → 
KERNEL32!_guard_dispatch_icall_fptr → 
ntdll!LdrControlFlowGuardEnforced
<\/code><\/pre>
<\/li>
<\/ul>
2.4 CFG启用与检测<\/h3>

使用Visual Studio启用CFG保护<\/li>
使用dumpbin命令行工具检查程序是否启用CFG<\/li>
通过注册表禁用CFG：
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
创建名为MitigationOptions的QWORD值
<\/code><\/pre>
<\/li>
<\/ul>
3. 绕过CFG的技术<\/h2>
3.1 线程上下文劫持<\/h3>

创建处于挂起状态的线程<\/li>
覆盖线程上下文<\/li>
修改RIP寄存器值<\/li>
强制线程直接执行shellcode而不执行CFG检查<\/li>
<\/ol>
优势：<\/p>

绕过所有CFG健全性检查<\/li>
可从任意地址开始执行代码<\/li>
可加载任意模块到远程进程<\/li>
<\/ul>
3.2 修补目标进程禁用CFG<\/h3>

直接修改目标进程内存中的CFG相关标志<\/li>
需要深入了解进程内存结构<\/li>
<\/ul>
3.3 其他技术组合<\/h3>

使用LoadLibrary加载牺牲DLL<\/li>
使用MSF生成的shellcode（如启动calc）<\/li>
<\/ul>
4. 相关技术对比：DLL Hollowing vs Module Stomping<\/h2>



比较维度<\/th>
DLL Hollowing<\/th>
Module Stomping<\/th>
<\/tr>
<\/thead>


核心原理<\/strong><\/td>
利用未加载DLL的内存空间，通过NtCreateSection和NtMapViewOfSection等函数注入恶意代码<\/td>
修改已加载模块(如user32.dll)的.text节或入口点，直接覆盖为shellcode<\/td>
<\/tr>

模块来源<\/strong><\/td>
选择未加载到目标进程中的DLL文件<\/td>
使用已加载到目标进程中的模块<\/td>
<\/tr>

修改方式<\/strong><\/td>
镜像注入方式写入.text节，保持文件完整<\/td>
直接覆盖模块入口点或导出函数<\/td>
<\/tr>

隐蔽性<\/strong><\/td>
较强，模拟正常DLL加载过程<\/td>
较弱，易被检测到入口变化<\/td>
<\/tr>

执行方式<\/strong><\/td>
映射执行，可能配合创建线程<\/td>
通过CreateThread执行入口函数<\/td>
<\/tr>

检测难度<\/strong><\/td>
传统手段难检测，但EDR可监测异常行为<\/td>
易被高级EDR检测内存与磁盘不一致<\/td>
<\/tr>

适用场景<\/strong><\/td>
长期驻留高隐蔽性需求<\/td>
快速注入执行需求<\/td>
<\/tr>

实现复杂度<\/strong><\/td>
较高，涉及内存映射等底层操作<\/td>
相对简单直接<\/td>
<\/tr>
<\/tbody>
<\/table>
5. 其他相关技术分析<\/h2>


本地线程劫持<\/strong>：<\/p>

利用合法进程线程上下文执行代码<\/li>
绕过基于进程创建的检测<\/li>
<\/ul>
<\/li>

自定义Havoc C2配置<\/strong>：<\/p>

使用非标准通信模式(自定义证书、协议混淆)<\/li>
降低网络特征匹配概率<\/li>
<\/ul>
<\/li>

文件膨胀绕过沙箱<\/strong>：<\/p>

增加文件体积至沙箱分析阈值以上<\/li>
延迟或跳过动态分析<\/li>
<\/ul>
<\/li>

AES解密实现建议<\/strong>：<\/p>

避免使用Windows API(CryptDecrypt)<\/li>
推荐自定义或静态链接加密库(如mbedTLS)<\/li>
前后添加其他编码或脏数据<\/li>
<\/ul>
<\/li>

ntdll钩子检测与恢复<\/strong>：<\/p>

针对Sophos等EDR的钩子机制有效<\/li>
Cortex主要依赖内存与行为分析<\/li>
可配合直接系统调用绕过<\/li>
<\/ul>
<\/li>
<\/ol>
6. 参考资源<\/h2>

Microsoft CFG官方文档<\/a><\/li>
DLL Hollowing深度解析<\/a><\/li>
<\/ul>

比较维度<\/th>	DLL Hollowing<\/th>	Module Stomping<\/th> <\/tr> <\/thead>
核心原理<\/strong><\/td>	利用未加载DLL的内存空间，通过NtCreateSection和NtMapViewOfSection等函数注入恶意代码<\/td>	修改已加载模块(如user32.dll)的.text节或入口点，直接覆盖为shellcode<\/td> <\/tr>
模块来源<\/strong><\/td>	选择未加载到目标进程中的DLL文件<\/td>	使用已加载到目标进程中的模块<\/td> <\/tr>
修改方式<\/strong><\/td>	镜像注入方式写入.text节，保持文件完整<\/td>	直接覆盖模块入口点或导出函数<\/td> <\/tr>
隐蔽性<\/strong><\/td>	较强，模拟正常DLL加载过程<\/td>	较弱，易被检测到入口变化<\/td> <\/tr>
执行方式<\/strong><\/td>	映射执行，可能配合创建线程<\/td>	通过CreateThread执行入口函数<\/td> <\/tr>
检测难度<\/strong><\/td>	传统手段难检测，但EDR可监测异常行为<\/td>	易被高级EDR检测内存与磁盘不一致<\/td> <\/tr>
适用场景<\/strong><\/td>	长期驻留高隐蔽性需求<\/td>	快速注入执行需求<\/td> <\/tr>
实现复杂度<\/strong><\/td>	较高，涉及内存映射等底层操作<\/td>	相对简单直接<\/td> <\/tr> <\/tbody> <\/table> 5. 其他相关技术分析<\/h2> 本地线程劫持<\/strong>：<\/p> 利用合法进程线程上下文执行代码<\/li> 绕过基于进程创建的检测<\/li> <\/ul> <\/li> 自定义Havoc C2配置<\/strong>：<\/p> 使用非标准通信模式(自定义证书、协议混淆)<\/li> 降低网络特征匹配概率<\/li> <\/ul> <\/li> 文件膨胀绕过沙箱<\/strong>：<\/p> 增加文件体积至沙箱分析阈值以上<\/li> 延迟或跳过动态分析<\/li> <\/ul> <\/li> AES解密实现建议<\/strong>：<\/p> 避免使用Windows API(CryptDecrypt)<\/li> 推荐自定义或静态链接加密库(如mbedTLS)<\/li> 前后添加其他编码或脏数据<\/li> <\/ul> <\/li> ntdll钩子检测与恢复<\/strong>：<\/p> 针对Sophos等EDR的钩子机制有效<\/li> Cortex主要依赖内存与行为分析<\/li> 可配合直接系统调用绕过<\/li> <\/ul> <\/li> <\/ol> 6. 参考资源<\/h2> Microsoft CFG官方文档<\/a><\/li> DLL Hollowing深度解析<\/a><\/li> <\/ul>

DLL Hollowing攻击与CFG保护机制解析<\/h1>

1. DLL Hollowing攻击技术<\/h2>

2. CFG保护机制<\/h2>

3. 绕过CFG的技术<\/h2>

6. 参考资源<\/h2> Microsoft CFG官方文档<\/a><\/li> DLL Hollowing深度解析<\/a><\/li> <\/ul>

6. 参考资源<\/h2>

Microsoft CFG官方文档<\/a><\/li>
DLL Hollowing深度解析<\/a><\/li> <\/ul>