如何阻止被其他进程通过CreateRemoteThread注入线程
展开全部
只要搞清楚什么是“注入”,和注入其它进程的方式,就知道怎么防御了。
所谓注入,就是程序把自己的代码放到别的进程的地址空间去执行,来对这个进程进行操作,获得、修改进程的数据等。把自己的代码放入别的进程的地址空间,可以让别的进程加载自己的DLL,也可以直接在别的进程地址空间创建远程线程。
进程注入的方法主要有:(1)修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,全局注入DLL到所有使用User32.dll的进程;(2)消息钩子;(3)CreateRemoteThread;(4)Fake DLL。
防(1),用RD;防(2)和(3),在AD里对应的是钩子和访问内存;防(4)一定程度上可以用FD。白+黑也是(4),但是没啥好办法防(无限弹窗流就不要说了)。
所谓注入,就是程序把自己的代码放到别的进程的地址空间去执行,来对这个进程进行操作,获得、修改进程的数据等。把自己的代码放入别的进程的地址空间,可以让别的进程加载自己的DLL,也可以直接在别的进程地址空间创建远程线程。
进程注入的方法主要有:(1)修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,全局注入DLL到所有使用User32.dll的进程;(2)消息钩子;(3)CreateRemoteThread;(4)Fake DLL。
防(1),用RD;防(2)和(3),在AD里对应的是钩子和访问内存;防(4)一定程度上可以用FD。白+黑也是(4),但是没啥好办法防(无限弹窗流就不要说了)。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
