CobaltStrike

DLL侧加载是一种利用Windows DLL加载机制，将恶意DLL伪装成合法DLL放置在DLL搜索路径上，由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任，使得DLL的恶意行为不会触发告警，绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如，输入法软件需要将自己的DLL注入到其他软件的内存中，防护软件显然不能将输入法标识为病毒，为了实现这一点，防护软件会检测输入法的签名信息，如果具备合法签名，则不予告警。黑客利用DLL侧加载机制，让受信任软件主动加载执行恶意代码，相比于主动注入，不需要调用VirtualAllocEx这类敏感API，被防护软件告警的几率也更低。

DLL侧加载是一种利用Windows DLL加载机制，将恶意DLL伪装成合法DLL放置在DLL搜索路径上，由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任，使得DLL的恶意行为不会触发告警，绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如，输入法软件需要将自己的DLL注入到其他软件的内存中，防护软件显然不能将输入法标识为病毒，为了实现这一点，防护软件会检测输入法的签名信息，如果具备合法签名，则不予告警。黑客利用DLL侧加载机制，让受信任软件主动加载执行恶意代码，相比于主动注入，不需要调用VirtualAllocEx这类敏感API，被防护软件告警的几率也更低。