https://blog.qife122.com/tags/dll%E6%B3%A8%E5%85%A5/ Recent content in DLL注入 on 办公AI智能小助手 Hugo zh-cn qife Fri, 12 Dec 2025 18:55:19 +0800 https://blog.qife122.com/p/%E6%BB%A5%E7%94%A8dll%E5%85%A5%E5%8F%A3%E7%82%B9%E4%B8%80%E7%A7%8D%E9%9A%90%E8%94%BD%E7%9A%84%E6%81%B6%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%8A%80%E6%9C%AF/ Fri, 12 Dec 2025 18:55:19 +0800 https://blog.qife122.com/p/%E6%BB%A5%E7%94%A8dll%E5%85%A5%E5%8F%A3%E7%82%B9%E4%B8%80%E7%A7%8D%E9%9A%90%E8%94%BD%E7%9A%84%E6%81%B6%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%8A%80%E6%9C%AF/ <p><strong>滥用DLL入口点以获取“乐趣”，（12月12日，星期五）</strong></p> <p><strong>严重性：中</strong> <strong>类型：漏洞</strong></p> <p>此威胁涉及滥用Windows动态链接库中的DLL入口点函数（DllMain），以便在DLL被加载或卸载时隐蔽地执行恶意代码。攻击者可以将有害负载嵌入到DllMain函数中，该函数在DLL加载时自动运行，从而绕过那些仅关注导出函数的检测方法。该技术被恶意软件用来逃避检测，因为恶意代码无需显式调用导出函数即可执行。该威胁被评定为中等严重性，原因在于其在允许DLL加载的环境中易于利用，且具有隐蔽执行的潜力。使用Windows系统的欧洲组织面临风险，尤其是那些广泛使用DLL和遗留应用程序的组织。缓解措施需要在分析期间仔细检查DLL入口点、加强对DLL加载活动的监控，并限制对regsvr32和rundll32等工具的使用，仅限于受信任的DLL。Windows采用率高且关键基础设施依赖Windows环境的国家最有可能受到影响。防御者应优先检测异常的DLL加载行为和入口点活动，以防止隐蔽的恶意软件执行。</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E6%81%B6%E6%84%8Fdll%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90/ Wed, 12 Nov 2025 18:08:33 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E6%81%B6%E6%84%8Fdll%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90/ <h1 id="隐藏在众目睽睽之下从peb中解除恶意dll链接">隐藏在众目睽睽之下：从PEB中解除恶意DLL链接</h1> <p>在这篇文章中，我们探讨了一种恶意软件可以利用的反取证技术，用于隐藏注入的DLL。我们深入研究了Windows进程环境块（PEB）的具体细节，以及如何滥用它来隐藏恶意加载的DLL。</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E6%81%B6%E6%84%8Fdll%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Fri, 24 Oct 2025 21:37:41 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E6%81%B6%E6%84%8Fdll%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="隐藏在众目睽睽之下从peb中解除恶意dll链接">隐藏在众目睽睽之下：从PEB中解除恶意DLL链接</h1> <h2 id="背景">背景</h2> <p>在这篇文章中，我们探讨了一种恶意软件可以利用的反取证技术来隐藏注入的DLL。我们深入研究了Windows进程环境块（PEB）的具体细节，以及如何滥用它来隐藏恶意加载的DLL。</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E5%8F%96%E6%B6%88%E9%93%BE%E6%8E%A5%E6%81%B6%E6%84%8Fdll/ Mon, 20 Oct 2025 17:40:05 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E5%8F%96%E6%B6%88%E9%93%BE%E6%8E%A5%E6%81%B6%E6%84%8Fdll/ <h1 id="隐藏在众目睽睽之下从peb中取消链接恶意dll">隐藏在众目睽睽之下：从PEB中取消链接恶意DLL</h1> <p>在这篇文章中，我们探讨了一种恶意软件可以利用的反取证技术来隐藏注入的DLL。我们深入研究了Windows进程环境块（PEB）的具体细节，以及如何滥用它来隐藏恶意加载的DLL。</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fdll%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Mon, 13 Oct 2025 06:44:06 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fdll%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="隐藏恶意dll从peb中解除链接的技术解析">隐藏恶意DLL：从PEB中解除链接的技术解析</h1> <p>在这篇文章中，我们探讨了一种恶意软件可以利用的反取证技术，用于隐藏注入的DLL。我们深入研究了Windows进程环境块（PEB）的具体细节，以及如何滥用它来隐藏恶意加载的DLL。</p> https://blog.qife122.com/p/%E4%BC%81%E4%B8%9A%E7%8E%AF%E5%A2%83%E4%B8%AD%E5%87%8F%E5%B0%91dll%E6%B3%A8%E5%85%A5%E6%8F%90%E5%8D%87firefox%E7%A8%B3%E5%AE%9A%E6%80%A7/ Sat, 11 Oct 2025 12:15:27 +0800 https://blog.qife122.com/p/%E4%BC%81%E4%B8%9A%E7%8E%AF%E5%A2%83%E4%B8%AD%E5%87%8F%E5%B0%91dll%E6%B3%A8%E5%85%A5%E6%8F%90%E5%8D%87firefox%E7%A8%B3%E5%AE%9A%E6%80%A7/ <h1 id="通过减少dll注入提升企业环境中firefox的稳定性">通过减少DLL注入提升企业环境中Firefox的稳定性</h1> <p>从138版本开始，Firefox将为企业环境中的数据防泄露部署提供DLL注入的替代方案。</p> <h2 id="dll注入">DLL注入</h2> <p>DLL注入到Firefox是我们之前在Hacks博客上讨论过的话题。2023年，我们曾发文介绍Firefox阻止第三方DLL加载的功能。我们解释了DLL注入是什么，如何处理有问题的第三方模块，about:third-party页面以及我们的第三方注入策略。更早在2019年，我们与蒙特利尔理工大学合作发布了关于Firefox DLL注入错误的研究。现在，我们在企业Firefox安装的背景下重新讨论这个话题。</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fdll%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Tue, 07 Oct 2025 16:48:27 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fdll%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="隐藏恶意dll从peb中解除链接的技术解析">隐藏恶意DLL：从PEB中解除链接的技术解析</h1> <h2 id="背景">背景</h2> <p>在这篇文章中，我们探讨了一种恶意软件可以利用的反取证技术，用于隐藏注入的DLL。我们将深入分析Windows进程环境块（PEB）的具体细节，以及如何滥用它来隐藏已加载的恶意DLL。</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fdll%E4%BB%8Epeb%E4%B8%AD%E5%8F%96%E6%B6%88%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Wed, 10 Sep 2025 14:41:50 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fdll%E4%BB%8Epeb%E4%B8%AD%E5%8F%96%E6%B6%88%E9%93%BE%E6%8E%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="隐藏恶意dll从peb中取消链接的技术解析">隐藏恶意DLL：从PEB中取消链接的技术解析</h1> <h2 id="背景">背景</h2> <p>您可能想知道为什么我会写一篇关于Windows内部机制的文章，毕竟我最近更专注于云安全。实际上，我在三年前的2020年4月就写了这篇博客文章。当时我在解释为什么Process Hacker会检测到本文描述的DLL取消链接技术时遇到了困难，所以停止了写作并从未发布。昨天在KubeCon上与出色的Brad Geesaman共进晚餐时，他鼓励我发布它。感谢Brad让我更进一步！</p> https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E6%81%B6%E6%84%8Fdll%E7%9A%84%E9%93%BE%E6%8E%A5/ Wed, 10 Sep 2025 00:48:31 +0800 https://blog.qife122.com/p/%E9%9A%90%E8%97%8F%E5%9C%A8%E4%BC%97%E7%9B%AE%E7%9D%BD%E7%9D%BD%E4%B9%8B%E4%B8%8B%E4%BB%8Epeb%E4%B8%AD%E8%A7%A3%E9%99%A4%E6%81%B6%E6%84%8Fdll%E7%9A%84%E9%93%BE%E6%8E%A5/ <h1 id="隐藏在众目睽睽之下从peb中解除恶意dll的链接">隐藏在众目睽睽之下：从PEB中解除恶意DLL的链接</h1> <p>在这篇文章中，我们探讨了一种恶意软件可以用来隐藏注入DLL的反取证技术。我们深入研究了Windows进程环境块（PEB）的具体细节，以及如何滥用它来隐藏恶意加载的DLL。</p>