UD2's Reverse Engineering Blog

阅读时间: 3-4 分钟前置知识: 理解 APC 注入、线程上下文、CPU 寄存器、x64 调用约定学习目标: 掌握线程劫持技术,理解如何通过修改 RIP 寄存器实现代码注入 📺 配套视频教程本文配套视频教程已发布在 B 站,建议结合视频学习效果更佳: 💡 提示: 点击视频右下角可全屏观看,建议配合文章食用! 视频链接: https://www.bilibili.com/video/BV1zWshzeE28/ 承接上节:APC 注入为什么会失效?上节课,我们用 APC 注入成功绕过了 ETW 的线程创建检测: ✅ 不创建新线程,复用现有线程 ✅ ETW 检测器完全沉默 ✅ 比 Shellcode 注入更隐蔽 看起来很完美,但当你在实战环境测试时,会发现一个让人崩溃的问题: APC 入队成功了,但 DLL 就是不加载! 为什么?让我们回顾一下 APC 的执行条件: 线程必须调用 SleepEx(time, TRUE) 或者 WaitForSingleObjectEx(..., TRUE) 最后一个参数必须是 TRUE(进入可警报状态) 问题...

阅读时间: 3-4 分钟前置知识: 理解进程注入原理、ETW 检测机制、Windows API 基础学习目标: 掌握 APC 注入技术，理解攻防对抗的下一轮演变 📺 配套视频教程本文配套视频教程已发布在 B 站,建议结合视频学习效果更佳: 💡 提示: 点击视频右下角可全屏观看,建议配合文章食用! 视频链接: https://www.bilibili.com/video/BV1RjWqzzEK8/ 承接上节：检测遇到新挑战上节课,防御者用 ETW 建立了一道防线： 监听线程创建事件 比对 CreatorPID 与 TargetPID 一旦不相等,立即报警 这确实把 02 节的 Shellcode 注入检测得很彻底。 但作为攻击方,我们需要分析这个检测的弱点在哪里。 攻击方的分析思路防御者的检测逻辑：监听线程创建事件,比对 CreatorPID 和 TargetPID。 作为攻击方,我们问自己：这个检测依赖什么？ 答案是：依赖内核产生 ThreadStart 事件 这个事件什么时候产生？ 调用 CreateRemoteThread 或者底层的...

阅读时间: 3-4 分钟前置知识: 理解进程注入原理、Shellcode 绕过技巧、Windows API 基础学习目标: 掌握 ETW 事件追踪，实现行为层检测 📺 配套视频教程本文配套视频教程已发布在 B 站,建议结合视频学习效果更佳: 💡 提示: 点击视频右下角可全屏观看,建议配合文章食用! 视频链接: https://www.bilibili.com/video/BV1oU4gzCEUj/ 承接上节上节我们确认了一件事只看起始地址会被 Shellcode 绕过 也留下了三个关键问题 为什么突然出现新线程? 谁创建了这个线程? 正常程序会这样做吗? 本节给出直接答案从”谁创建了线程”入手用 ETW 还原”发起进程 → 目标进程”的创建关系做一次可落地的行为检测 本节目标与策略目标很明确:不看线程从哪里开始只看是谁创建了它 策略很简单: 订阅线程创建事件 拿到创建者 PID 与目标 PID 不相等就是远程线程 不关心起始地址是不是 LoadLibraryShellcode 中转同样会被覆盖 这是一种行为检测比地址特征更本质也更难被简...

阅读时间: 3-4 分钟前置知识: 理解进程注入和防御检测原理、汇编基础学习目标: 掌握 Shellcode 注入技术，理解攻防对抗思路 📺 配套视频教程本文配套视频教程已发布在 B 站,建议结合视频学习效果更佳: 💡 提示: 点击视频右下角可全屏观看,建议配合文章食用! 视频链接: https://www.bilibili.com/video/BV1ktxXzNEVR/ 🎯 道高一尺，魔高一丈防御者的困境上节课我们学会了检测远程线程注入，核心思路非常简单：抓住线程起始地址 = LoadLibrary 这个特征。 但攻防对抗永远是螺旋上升的： ⚔️ 防御者刚亮出检测手段 🛡️ 攻击者已经在思考破解之道 这节课我们切换到攻击者视角，看看如何绕过这个检测。 检测的致命缺陷让我们冷静分析这个检测方案的弱点： 1234检测逻辑：线程起始地址 == LoadLibrary？ ↓ 是 → 告警 否 → 放行 问题在哪？ ✅ 它只检测了线程的起始地址 ❌ 但完全不管线程后续执行了什么 这就像...

阅读时间: 3-4 分钟前置知识: 理解远程线程注入原理、Windows API 基础学习目标: 掌握进程注入检测技术，实现实时防御系统 📺 配套视频教程本文配套视频教程已发布在 B 站,建议结合视频学习效果更佳: 💡 提示: 点击视频右下角可全屏观看,建议配合文章食用! 视频链接: https://www.bilibili.com/video/BV1NWHTziE8Q/ 防御者的视角上节课，我们学习了远程线程注入的攻击技术。 这节课，我们切换到防御者的角度去思考。 如果你是游戏的反外挂系统开发者，你会如何检测这种远程线程注入？ 思考一下，把你的方法写在评论区 解析远程线程注入的攻击特征作为防御者，我们首先要分析攻击者的行为，找出所有可能的检测点。 远程线程注入会在目标进程中留下以下攻击特征： 特征1：存在于进程的模块链表中注入的 DLL 会被加载到进程中，出现在模块链表（PEB->Ldr）里。 通过枚举进程模块，可以发现新加载的 DLL。 特征2：有完整的 PE 头信息注入的 DLL 作为一个完整的 PE 文件被加载，有标准的 PE 结...

阅读时间: 3-4 分钟前置知识: C++ 基础、Windows API 基础学习目标: 理解进程注入原理，掌握远程线程注入技术 📺 配套视频教程本文配套视频教程已发布在 B 站,建议结合视频学习效果更佳: 💡 提示: 点击视频右下角可全屏观看,建议配合文章食用! 视频链接: https://www.bilibili.com/video/BV1wGnozPEVA/ 课程引入：为什么要学习进程注入？在 Windows 系统安全、游戏安全、恶意软件分析等领域，进程注入（Process Injection）是一个绕不开的核心技术。 你可能见过这些场景： 🎮 游戏外挂修改游戏逻辑，实现透视、自瞄 🛡️ 杀毒软件注入监控模块，实时检测恶意行为 🔧 调试器（如 Visual Studio）注入调试引擎，实现断点、单步执行 💉 恶意软件注入正常进程，隐藏自己逃避检测 这些都是进程注入技术的实际应用。 本课程的学习目标： 理解进程注入的原理与实现 掌握远程线程注入的完整流程 为后续的攻防对抗课程打下基础 重要声明： 本课程仅用于防御性安全研究与教...