使用DLL_THREAD_ATTACH阻止远程线程

最新推荐文章于 2021-10-01 21:57:25 发布
最新推荐文章于 2021-10-01 21:57:25 发布
阅读量356 收藏
点赞数

当进程创建一个线程的的时候,系统会检查当前映射到该进程的地址空间中的所有DLL文件映像,并用DLL_THREAD_ATTACH来调用每个DLL的DllMain函数,新创建的线程负责执行所有DLL的DllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。
此时新线程已经被创建但尚未执行,更精确的说已经创建了线程内核对象、线程堆栈等资源,正处于初始化阶段。只有在每个DLL都正常处理DLL_THREAD_ATTCH通知,新线程才能开始执行!

远程线程本质与本地线程一样,区别只是由其他进程创建。我们就是要写个DLL,在收到DLL_THREAD_ATTACH时通知结束线程,那么远程线程就无法执行了。

代码:
// 创建标识 // 创建线程之前设置为TRUE,表示需要创建一个合法的线程 // 只有合法线程才能正常创建 BOOL bStatus = FALSE ; VOID MY_OutputDebugStringA ( const char* szFormat,...) { char szBuf[1024] ; va_list argList ; va_start ( argList, szFormat ) ; vsprintf ( szBuf, szFormat, argList ) ; va_end ( argList ) ; OutputDebugStringA ( szBuf ) ; } // 设置线程创建标识 VOID SetStatus ( BOOL status ) { bStatus = status ; } BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: case DLL_THREAD_ATTACH: MY_OutputDebugStringA ( "DLL_THREAD_ATTACH ThreadId=%d", GetCurrentThreadId() ) ; // 检测线程创建标识 if ( bStatus == FALSE ) { // 如果线程创建标识为FALSE,就直接结束线程 MY_OutputDebugStringA ( "Terminate unvalid thread!" ) ; TerminateThread (GetCurrentThread(),0 ) ; } else { // 每次创建合法线程后,自动关闭创建标识 // 每次设置合法线程标识只能使用一次 SetStatus ( FALSE ) ; } break; case DLL_THREAD_DETACH: MY_OutputDebugStringA ( "DLL_THREAD_DETACH ThreadId=%d", GetCurrentThreadId() ) ; break ; case DLL_PROCESS_DETACH: break; } return TRUE; }
SetStatus函数要导出一下

为了能使本程序自身正常创建线程

代码:
SetStatus(TRUE); CreateThread(NULL,0,NewThread,NULL,0,NULL);

iteye_10992
关注
谨慎使用DLL_THREAD_ATTACH,以及利用DLL_THREAD_ATTACH阻止远程线程创建执行
Ginvar的专栏
08-19 7880
DLL_THREAD_ATTACH的调用时机 当进程创建一个线程的的时候,系统会检查当前映射到该进程的地址空间中的所有DLL文件映像,并用DLL_THREAD_ATTACH来调用每个DLLDllMain函数,新创建线程负责执行所有DLLDllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。 此时新线程已经被创建但尚未
python dll注入监听_HOOK -- DLL远程注入技术详解(1)
weixin_30894765的博客
02-19 1226
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一...
转帖 SSDT HOOK拦截远线程创建(上)
zhuerhua的专栏
06-01 944
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中
DLL_THREAD_ATTACH防止远程线程注入
125096
05-05 5469
/* 原理: 当创建线程时,系统会向当前进程所有dll发送DLL_THREAD_ATTACH通知 此时新的线程已经被创建但尚未执行,更精切的说已经创建线程内核对象、线程堆栈等资源 正处于初始化阶段。只有在每个dll正常处理了DLL_THREAD_ATTACH线程才开始执行 对于远程线程本质上和本地线程完全一样,区别在于由其他进程创建 如果在接受DLL_THREAD_ATTACH时通知结束线程,线
转帖 SSDT HOOK拦截远线程创建(下)
zhuerhua的专栏
06-01 648
<br />第三部分:从进程句柄获取信息<br />      在第二部分我们使用了一个前提:可以通过进程句柄得到PID等信息。<br />      事实上这是可行的,这一部分我们就进行介绍。我这里使用的是炉子大虾的《API HOOK实现ring3的进程保护》一文中提到的方法。<br />      炉子那篇文章里讲的很详细,这里只说下如何从进程句柄中获取信息吧,在NTDLL中有个函数可以帮助我们:Zw(Nt)QueryInformationProcess,下面是我在《The Undocumented F
DLL_PROCESS_ATTACH DLL_THREAD_ATTACH DLL_THREAD_DETACH DLL_PROCESS_DETACH
最新发布
05-24
- DLL_THREAD_ATTACH:新线程创建时触发,表示 DLL 正在被附加到线程中。 - DLL_THREAD_DETACH线程结束时触发,表示 DLL 正在从线程中卸载。 - DLL_PROCESS_DETACH:该 DLL 从进程空间中卸载时触发,表示 DLL 正在...
这段代码有什么用:case DLL_PROCESS_ATTACH: case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH:
03-06
其中,DLL_PROCESS_ATTACH 表示当进程加载该 DLL 时执行的操作,DLL_THREAD_ATTACH 表示当线程创建时执行的操作,DLL_THREAD_DETACH 表示当线程结束时执行的操作,DLL_PROCESS_DETACH 表示当进程卸载该 DLL 时执行的...
Dll_Create.zip
10-02
- `DLL_THREAD_ATTACH`:当进程创建线程时触发,如果DLL需要线程局部存储,这里进行初始化。 - `DLL_THREAD_DETACH`:当线程结束时触发,清理线程相关的资源。 - `DLL_PROCESS_DETACH`:当DLL从进程空间卸载时...
我的Dll(动态链接库)学习笔记
rivershan的专栏
09-19 7480
DLL(Dynamic Link Libraries)专题:    比较大的应用程序都由很多模块组成,这些模块分别完成相对独立的功能,它们彼此协作来完成整个软件系统的工作。可能存在一些模块的功能较为通用,在构造其它软件系统时仍会被使用。在构造软件系统时,如果将所有模块的源代码都静态编译到整个应用程序EXE文件中,会产生一些问题:一个缺点是增加了应用程序的大小,它会占用更多的磁盘空间,程序运行时
DLL_THREAD_DETACH 认识误区
cqyczj的专栏
04-15 1267
DLL 里面使用TLS (Local Thread Storage ) 的常见做法是:在DLLMain的DLL_PROCESS_ATTACH/DLL_THREAD_ATTACH 被调用的时候为每个线程Thread)分配内存,而在DLL_THREAD_DETACH/DLL_PROCESS_DETACH 被调用的时候释放内存。 MSDN文章《Using Thread Local Storage
DLL中的thread
strawbear的专栏
04-27 755
如下代码,DLL_PROCESS_ATTACH创建一个线程,试图在DLL_PROCESS_DETACH中设置结束标记并等待线程结束,程序会死在这里。没有仔细跟踪汇编代码,估计线程结束的时候会进入到DLL_THREAD_DETACH中,但此时DLL进程空间已经没有合适的代码去执行了,所以就挂了。 比较隐蔽的情况是把线程作为一个类的成员来实现。类的构造函数在DLL加载的时候创建进程,在DLL
DLL文件_DLLMain函数详解
weixin_46967682的博客
10-01 5773
目录**CODE**1.DLLMain函数类型-APIENTRY CODE //核心的入口函数,动态链接库入口函数 BOOL APIENTRY DllMain( HMODULE hModule, //APIENTRY可以换成WINAPI或者_stdcall 是一种调用约定 DWORD ul_reason_for_call, LPVOID lpReserved )
[Windows编程] DLL_THREAD_DETACH 认识误区
weixin_34072637的博客
06-01 210
DLL 里面使用TLS (Local Thread Storage) 的常见做法是:在DLLMain的DLL_PROCESS_ATTACH/DLL_THREAD_ATTACH 被调用的时候为每个线程Thread)分配内存,而在DLL_THREAD_DETACH/DLL_PROCESS_DETACH 被调用的时候释放内存。 MSDN文章《Using Thread Local Storage in ...
Dll学习(一)--DllMain函数
dylan的专栏
09-15 711
1、首先看一下一个空的Dll。      vc6.0环境,new-->project-->Win32 Dynamic-Link Library-->A simple Dll project// SimpleDll.cpp : Defines the entry point for the DLL application. // #include "stdafx.h" BOOL APIENTRY DllMain( HANDLE hModule,
动态链接库DLL
taianmei的专栏
06-04 444
《Windows核心编程》 第IV部分 动态链接库 第20章,DLL高级技术 问题一:动态加载DLL时,SetDllDirectory的作用 正常情况下, 一个可执行模块LoadLibrary单独一个DLL,没有任何问题;但如果该DLL还依赖于其他DLL模块,且和可执行模块不在同一级目录下,那么直接调用LoadLibrary会返回错误“找不到该DLL” ; 这种应用常见于集
动态链接库(DLL)入口/出口点
jjunjoe的专栏
03-02 4222
<br />链接库入口/出口点<br />当动态链接库首次启动和结束时,我们呼叫了DllMain函数。DllMain的第一个参数是链接库的执行实体句柄。如果您的链接库使用需要执行实体句柄(诸如DialogBox)的资源,那么您应该将hInstance储存为一个整体变量。DllMain的最后一个参数由系统保留。<br />fdwReason参数可以是四个值之一,说明为什么Windows要呼叫DllMain函数。在下面的讨论中,请记住一个程序可以被加载多次,并在Windows下一起执行。每当一个程序加载时,它都
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值