好的，我們來詳細解釋一下“棧欺騙技術”（Stack Spoofing）的作用。

簡單來說，棧欺騙技術的核心作用是隱藏程序（尤其是惡意軟件或安全工具）的真實調用鏈，使其逃避基于棧回溯（Stack Walk）的安全檢測機制。

下面我們從幾個層面來分解它的作用：

1. 對抗動態安全檢測（EDR/AV）

現代終端安全產品，如EDR（終端檢測與響應）?和高級防病毒（AV）?軟件，會實時監控系統上程序的運行。當它們檢測到一個可疑的API調用（例如，一個進程試圖分配內存或創建遠程線程）時，它們會執行一個名為?“棧回溯”?的操作。

• 什么是棧回溯？

  • 棧是內存中的一個區域，用于存儲函數調用信息。當一個函數被調用時，它的返回地址、參數和局部變量會被壓入棧中。
  • 當安全產品檢測到一個危險調用時，它會從當前函數開始，沿著棧向上回溯，查看是哪個函數序列（調用鏈）最終導致了這次調用。這就像查看一份“誰命令誰去做這件事”的清單。

• 一個典型的惡意調用鏈可能是這樣的：

  • 惡意代碼 -> VirtualAllocEx（分配內存） -> WriteProcessMemory（寫入數據） -> CreateRemoteThread（執行代碼）
  • 如果EDR看到這個完整的調用鏈都來自一個已知的惡意模塊，它會立即終止進程并報警。

• 棧欺騙如何起作用？

  • 棧欺騙技術會人為地清理或修改棧幀，使得在回溯時，危險的API調用看起來像是來自一個合法的、可信的系統模塊（如ntdll.dll），而不是來自惡意的二進制文件。
  • 例如，欺騙后，調用鏈可能看起來像這樣：
    • 合法的系統模塊（如ntdll.dll） -> SomeInternalFunction -> CreateRemoteThread
  • 這樣，EDR進行棧回溯時，看不到惡意軟件的蹤跡，會認為這個危險操作是系統正常行為的一部分，從而繞過檢測。

2. 繞過堆棧 Cookie（/GS）保護（歷史背景）

“棧欺騙”這個概念早期也與繞過微軟的?/GS（緩沖區安全檢查）?編譯選項有關。

• /GS保護：通過在棧上的函數返回地址前放置一個隨機值（Canary/Cookie），并在函數返回前檢查該值是否被改變，來防止棧溢出攻擊。
• 早期的棧欺騙：指的一種攻擊技術，通過精心構造的漏洞利用，在不觸發Cookie檢查的情況下，欺騙系統執行攻擊代碼。不過，現代對此術語的理解更多集中在對抗EDR上。

3. 具體技術實現方式

棧欺騙通常通過以下幾種方式實現：

1. 直接系統調用（Syscall）：

   • 不通過系統的kernel32.dll或ntdll.dll提供的標準API函數，而是直接編寫匯編指令，發起系統調用進入內核。
   • 這本身就縮短了調用鏈，避免了在用戶態棧上留下明顯的惡意API痕跡。攻擊者通常會進一步偽造調用幀，讓棧回溯看起來更“干凈”。

2. 返回地址欺騙（Return Address Spoofing）：

   • 手動覆蓋棧上的返回地址，將其指向一個合法模塊（如ntdll.dll）中的地址。當安全軟件回溯時，會誤以為調用源自那個合法模塊。

3. 線程堆棧欺騙（Thread Stack Spoofing）：

   • 創建一個掛起的新線程，將其棧內存完全清空或覆蓋為無意義的數據或合法模塊的地址，然后將其指令指針（EIP/RIP）指向惡意代碼。當這個線程恢復執行并調用敏感API時，其棧上是“干凈”的，沒有指向惡意代碼的指針。

總結：棧欺騙技術的作用

重要提示：棧欺騙是一種高級的規避技術。理解和研究它對于網絡安全專業人員（藍隊、滲透測試員）至關重要，以便能更好地防御和檢測此類攻擊。但此技術不應被用于非法活動。