新型远程注入手法-Threadless inject

文章预览

基本原理及执行流程一览 无线程注入是在B-Sides Cymru 2023大会上发表的议题，是一种新型的远程注入手法，原理就是对hook的函数jump到dll的内存空隙的第一段shellcode(二次重定向功能)当中，然后再jump到第二段shellcode(真正的shellcode)执行。具体执行过程如图 第一步，注入的进程调用的被hook的API函数并重定向到我们的第一段shellcode，第二步就是执行第一段shellcode负责跳转到第二段shellcode，第三步跳转到第二段shellcode并执行，第四步返回到第一段shellcode执行跳转回到原本API函数的位置重新执行本身的功能。 threadless inject的主要绕过思路就是跟其他执行内存的方式不同，通过这种方式绕过了AV/EDR的一些检测，下面我会通过对相关代码进行讲解，来让读者们了解具体的实现细节。因为这些代码都只是POC，直接使用效果并不会太好，在文章末尾，我会说明一下这 ………………………………