进程注入: 反射式DLL注入

反射式DLL注入（Reflective DLL Injection）是一种无需依赖Windows加载器机制的内存驻留技术。攻击者通过自主实现DLL映射逻辑，将恶意代码直接写入目标进程内存空间并触发执行，规避了传统DLL注入所需的磁盘文件写入和注册表操作环节。该技术通过内存操作API构建完整的PE结构映射，利用进程合法内存操作掩盖代码加载痕迹，使得安全产品难以通过文件监控或加载器行为分析发现异常。

该技术的匿迹性源于对操作系统标准加载流程的深度规避。首先通过抹除磁盘文件实体消除传统DLL注入的静态检测特征，利用内存加密传输技术实现载荷隐蔽投递。其次，反射加载机制完全在内存中重建导入表、重定位表等关键结构，避免触发进程内存完整性校验。执行阶段采用线程劫持或APC注入方式，将恶意代码执行流嵌入目标进程的正常线程调度周期。技术实现中需解决内存权限动态调整、地址随机化对抗等关键问题，通常结合堆喷射或内存空洞填充技术提升隐蔽性。最终形成的注入链具备无文件落地、无注册表修改、无标准加载痕迹的三重隐匿特性，使得基于文件监控或加载器行为分析的防御机制失效。