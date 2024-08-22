向量异常处理程序 (VEH) 近年来在攻击型安全领域备受关注，但事实上，恶意软件利用 VEH 的历史已远超十年。VEH 为开发者提供了一种便捷的方式来捕获异常并修改寄存器上下文，因此自然成为恶意软件开发者的理想利用目标。尽管 VEH 已引发广泛关注，但此前尚无公开方法能够绕开 Windows 内置 API，这些 API 有时会被端点检测和响应 (EDR) 产品挂钩，来手动添加向量异常处理程序。

早在 2015 年，UnKnoWnCheaTs 论坛的一名用户就发布了用于操控 VEH 列表的代码片段；而近期在 2024 年，一位名为 mannyfreddy 的研究人员发布了一篇博客，其中详细剖析了 VEH 的工作原理。该博客还提及了如何操控 VEH 列表，甚至探讨了利用 VEH 实现远程进程注入的方法。

2022 年，在 rad9800 发布了一项概念验证方案后，我开始关注向量异常处理程序相关技术，该方案可遍历向量异常处理程序列表，并对每个已注册的处理程序调用RemoveVectoredExceptionHandler API 来清空列表。这一研究促使我开发出两种方法：一是手动操控 VEH 列表的方法，二是利用 VEH 实现无线程进程注入的方法。如今，随着这类技术的相关信息开始被公开分享，我认为是时候发布我在该领域的研究成果了。

在本文中，我们将探讨如何手动操控 Windows 向量异常处理程序 (VEH) 列表，以及如何利用 VEH 实现防御规避与进程注入。本文配套的代码可通过此链接获取。