【逆向】Windows 三大注入:远程线程 、APC 、 钩子注入

一、远程线程注入(CreateRemoteThread)

实现流程

  1. 打开目标进程,获取PROCESS_ALL_ACCESS权限
  2. 在目标进程VirtualAllocEx申请可写可执行内存
  3. WriteProcessMemory写入 DLL 路径
  4. 获取LoadLibraryA/W地址
  5. CreateRemoteThread创建远程线程,回调为 LoadLibrary
  6. 线程执行后加载 DLL,完成注入

优缺点

  • 优点:实现最简单、兼容性最好、稳定通用
  • 缺点:易被检测、无法注入系统进程、不支持跨会话

触发条件

  • 目标进程有足够权限
  • 未被保护、未开启强反注入

对抗手段

  • Hook NtCreateThreadEx
  • 监控远程线程创建
  • 校验新线程起始地址是否为 LoadLibrary
  • 阻止非信任进程打开句柄

二、APC 注入(异步过程调用)

实现流程

  1. 打开目标进程,分配内存并写入 DLL 路径
  2. 枚举目标线程OpenThread
  3. QueueUserAPC将 APC 插入线程队列
  4. 回调函数设为 LoadLibrary
  5. 线程进入alertable wait状态时自动执行 APC

优缺点

  • 优点:无新线程、隐蔽性更高,可绕过部分远程线程检测
  • 缺点:依赖线程进入可等待状态,不一定立即执行,不稳定

触发条件

  • 线程必须进入 alertable 状态(Sleep、WaitForSingleObjectEx 等)
  • 不能被内核强制阻断 APC

对抗手段

  • 监控NtQueueApcThread
  • 过滤 APC 回调是否为 LoadLibrary
  • 禁用用户 APC 或清空 APC 队列
  • 检测内存中突然出现的 DLL 路径

三、钩子注入(SetWindowsHookEx)

实现流程

  1. 编写带Hook 回调的 DLL
  2. SetWindowsHookEx设置全局钩子(WH_KEYBOARD、WH_MOUSE、WH_CALLWNDPROC 等)
  3. 系统会自动把 DLL 映射到所有接收消息的 GUI 进程
  4. 目标进程触发消息时执行注入逻辑

优缺点

  • 优点:全局注入、GUI 场景天然稳定,适合桌面软件
  • 缺点:只支持有消息循环的 GUI 进程,无法注入控制台/无窗口进程

触发条件

  • 目标进程是 GUI 进程、有消息循环
  • 未取消钩子、未屏蔽窗口消息

对抗手段

  • Hook SetWindowsHookEx
  • 卸载不明钩子、枚举钩子列表
  • 禁止加载未知 DLL
  • GUI 进程强化模块白名单

面试速记版(一句话总结)

  1. 远程线程:最简单最稳,但最容易被查。
  2. APC:更隐蔽,但靠运气执行,不稳定。
  3. 钩子:只适合 GUI,全局生效但局限大。
相关推荐
sg_knight12 分钟前
Claude Code 安装指南(macOS / Linux / Windows WSL)
linux·windows·macos·claude·code·anthropic·claude-code
caimouse15 小时前
Windows Research Kernel (WRK) 内存管理器完整分析
windows
济*沧*海15 小时前
BaseMapper的介绍
java·windows·tomcat
vortex515 小时前
PowerShell Provider 机制详解:从文件系统到注册表的统一抽象
windows·powershell
小狮子&18 小时前
ubuntu2604终端右键新建窗口
windows
shx_wei19 小时前
从函数调用到进程替换:使用 execl、CMake 与 PowerShell 构建一个多可执行程序
linux·c语言·windows·c
奶油话梅糖19 小时前
锐捷常用命令速查表
java·网络·windows
love530love20 小时前
CodexPro + MCP + Cloudflare 配置详解:HTTP2、QUIC 与连接排障
ide·人工智能·windows·ai agent
kyle~20 小时前
Schema---数据结构的形式化规则描述
数据结构·windows·microsoft
艾德金的溪20 小时前
【windows安装使用openclaw】
运维·windows·ai