反射の検出DLL注入

反射DLLインジェクションとは何かを検討してください。アプリケーションを悪用して任意のコードを実行させると、このシェルコードはDLLをデータのblobとしてメモリにロードします（これまでのすべての標準的なシェルコードの内容...）そして、DLLがPEローダーを介してDLLとして自身を適切にロードするように、それを実行します。この全体的なアイデアの目的：マルウェア全体を固定メモリオフセットのアセンブリコードとして書き込むのではなく、選択した言語でDLL）にコンパイルできる完全なアプリケーションを作成してみましょう。

検出するには、メモリ上にのみ存在し、ディスク上には存在せず、その中でコードを実行しているPEファイルを探す必要があります。したがって、実行可能メモリBLOBをスキャンして、PEファイルのように見えても、ディスクファイルには関連付けられていないものを探します。これは、悪用後の科学捜査として行うことができます。または、リアルタイムで検出したい場合は、通常、リフレクティブDLLインジェクション（LoadLibrary、GetProcAddress、VirtualAllocなど）に関連付けられている呼び出しをフックし、前の手順をよりスマートに実行します。 ambuships.com

これはかなり古いことは知っていますが、将来この問題に遭遇する可能性がある他の人のために追加します。

VADツリーを歩くなどの手法は、特定のアンチフォレンジック手法を使用してこの領域のトラックをカバーしていない限り、反射的に注入されたDLLを見つけるのに役立ちます。これらに関する2007年のフォレンジックペーパー（ [〜＃〜] pdf [〜＃〜] ）があり、これらを検出するための将来の取り組みに役立つ可能性があります。

検出は、プロセスのPEB（プロセス環境ブロック、リフレクトDLLが登録されていない）に読み込まれたモジュールリストを見ると言うほど簡単ではありませんが、適切な相互参照とそのようなツールは、代わりにVADツリーを使用して検出を行うことができます。VADツリーは、プロセスのEPROCESSブロックにあります（システム空間に格納されています）。

私は大きなセキュリティ製品でやりました。カーネルモードでVADウォーキングを使用するだけでなく、リモートスレッドを検出する機能を使用します。

最初に、リモートスレッドを検出してメモリの場所を取得します。挿入されたスレッドは、ほとんどの場合、アプリケーションによって読み込まれたモジュールにはない開始アドレスを持ちます。これは発生するとは想定されていません。その後、メモリを逆戻りしてPEヘッダーまたはIAT/EATセクションを検出できます。これにより、悪意のあるコードが挿入されている場所を特定できます。

スレッドスタックを調べ、GetMappedFileを使用して関数呼び出しがどこから読み込まれているかを報告するツール（リフレクションを使用したC＃およびPowerShell）を作成しました。 MappedFileプロパティが空白の場合、すべての関数がどこから実行されているか（つまり、どのdllとディスクのどこにあるか）を示します。おそらく、反射的にロードされます;） https://github.com/secabstraction/PowerWalker