DLL Injection — Analyse forensic des injections de DLL

Windows Malware

Principe

L'injection de DLL force un processus légitime à charger une bibliothèque malveillante (via CreateRemoteThread+LoadLibrary, manipulation de la PEB, ou hijack de DLL). En forensic on cherche les DLL chargées de façon anormale.

Détection en mémoire

# Lister les DLL chargées par processus
vol3 -f mem.raw windows.dlllist --pid 1234

# DLL chargées depuis des chemins suspects (Temp, AppData)
vol3 -f mem.raw windows.dlllist | grep -iE 'temp|appdata'

# ldrmodules : compare 3 listes (détecte unlinking)
vol3 -f mem.raw windows.ldrmodules

Indicateurs

DLL présente en mémoire mais absente de la liste des modules (unlinked), chemin inhabituel, DLL non signée injectée dans un processus système (explorer.exe, svchost.exe), divergence entre les trois vues de ldrmodules.