本帖最后由 myzuzong 于 2012-4-28 10:00 编辑
只要搞清楚什么是“注入”,和注入其它进程的方式,就知道怎么防御了。
所谓注入,就是程序把自己的代码放到别的进程的地址空间去执行,来对这个进程进行操作,获得、修改进程的数据等。把自己的代码放入别的进程的地址空间,可以让别的进程加载自己的DLL,也可以直接在别的进程地址空间创建远程线程。
进程注入的方法主要有:(1)修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,全局注入DLL到所有使用User32.dll的进程;(2)消息钩子;(3)CreateRemoteThread;(4)Fake DLL。
防(1),用RD;防(2)和(3),在AD里对应的是钩子和访问内存;防(4)一定程度上可以用FD。白+黑也是(4),但是没啥好办法防(无限弹窗流就不要说了)。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024