DLL_THREAD_ATTACH防止远程线程注入

最新推荐文章于 2024-07-14 11:31:13 发布
最新推荐文章于 2024-07-14 11:31:13 发布
阅读量5.5k 收藏 4
点赞数
分类专栏: thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/45510519
版权 
/*
原理:
当创建线程时,系统会向当前进程所有dll发送DLL_THREAD_ATTACH通知
此时新的线程已经被创建但尚未执行,更精切的说已经创建了线程内核对象、线程堆栈等资源
正处于初始化阶段。只有在每个dll正常处理了DLL_THREAD_ATTACH线程才开始执行
对于远程线程本质上和本地线程完全一样,区别在于由其他进程创建
如果在接受DLL_THREAD_ATTACH时通知结束线程,线程就无法执行,也防止了远程线程注入的效果

下面直接上代码
*/
//
//应用程序部分
#include <windows.h>
#include <stdio.h>

DWORD ThreadProc(  LPVOID lpParameter);
typedef FARPROC (*add) (bool);
int main (void)
{
	HANDLE Thread;        
	HMODULE hDll=LoadLibrary("dll.dll");
	if (hDll)
	{

		add address=(add)GetProcAddress(hDll,"SetStatus");
		if (address)
		{
			address(TRUE);//正常创建线程设置true
		}
		Thread=CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)ThreadProc,NULL,0,NULL);
		Sleep(100);
		FreeLibrary(hDll);

	}
	else
	{
		printf("dll加载失败!");
		return 0;
	}        
	return 0;
}

DWORD ThreadProc(  LPVOID lpParameter)
{
	for (int i=0;i<10;i++)
	{
		printf("%d\n",i);
	}
	return TRUE;
}





/
//dll部分
#include <windows.h>
#include <stdio.h>
BOOL bStatus=FALSE;

//设置线程创建标识

void SetStatus(bool status)
{
	bStatus=status;
	return;
}

BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			OutputDebugString(TEXT("加载dll"));
		}
		break;
	case DLL_THREAD_ATTACH:
		{
			OutputDebugString(TEXT("新建线程"));                
			if (bStatus==FALSE)
			{
				//如果线程创建标识为FALSE,就直接结束
				OutputDebugString(TEXT("线程被结束"));
				TerminateThread(GetCurrentThread(),0);
				//貌似执行这个主线程也挂了。FreeLibrary和关闭按钮也无反应了。
			}
			else
			{
				//每次创建线程合法后就自动关闭线程标识
				//每次设置合法线程标识只能使用一次
				OutputDebugString(TEXT("线程正常创建执行"));
				SetStatus(false);
			}

		}
		break;
	case DLL_THREAD_DETACH:
		{
			OutputDebugString(TEXT("线程退出"));
		}
		break;
	case DLL_PROCESS_DETACH:
		{
			OutputDebugString(TEXT("释放dll"));
		}
		break;
	}
	return TRUE;
}

谨慎使用DLL_THREAD_ATTACH,以及利用DLL_THREAD_ATTACH来阻止远程线程的创建执行
Ginvar的专栏
08-19 8095
DLL_THREAD_ATTACH的调用时机 当进程创建一个线程的的时候,系统会检查当前映射到该进程的地址空间中的所有DLL文件映像,并用DLL_THREAD_ATTACH来调用每个DLLDllMain函数,新创建的线程负责执行所有DLLDllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。 此时新线程已经被创建但尚未
【Windows安全】远程线程注入
最新发布
TakakiTohno的博客
09-05 1609
最近空闲,然后刚巧刷到关于Windows安全技术的博客,随就记录一下。好了,废话不多说,开始!每天学习一点小技术,总有一天会成为大牛的,加油!!!看十遍不如写一遍,动动手指,你也能成为我这样的小白菜。
R3最强防远程创建线程(防线程注入)-易语言
06-11
之前发过这个的测试程序在论坛上,也说过之后会发源码但是后来我忘了,今天看了看消息有个人一直在关注这个源码 所以顺手发一发源码,这个DLL源码是调用了我之前发过的一个模块源码 https://bbs.125.la/forum.php?mod=viewthreadtid=14336053extra= 自己去下吧 因为差不多一年前的源码了,我写代码也从来不做备注(除非复杂的东西),所以有什么小问题自己动动手,也是对自己有好处。
应用层阻止远程线程注入
XboxMicro
02-19 2439
利用DLL_THREAD_ATTACH即可。当有新线程加入时,进行过滤即可。 BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad) 2 { 3 switch (fdwReason) 4 { 5 6 case DLL_PROCESS_ATTACH: 7 8
使用DLL_THREAD_ATTACH阻止远程线程
zqf_office的专栏
10-23 934
当进程创建一个线程的的时候,系统会检查当前映射到该进程的地址空间中的所有DLL文件映像,并用DLL_THREAD_ATTACH来调用每个DLLDllMain函数,新创建的线程负责执行所有DLLDllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。        此时新线程已经被创建但尚未执行,更精确的说已经创建了线程内核对象、线
转帖 SSDT HOOK拦截远线程的创建(上)
zhuerhua的专栏
06-01 964
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中
DLL_PROCESS_ATTACH DLL_THREAD_ATTACH DLL_THREAD_DETACH DLL_PROCESS_DETACH
05-24
- DLL_THREAD_ATTACH:新线程创建时触发,表示 DLL 正在被附加到线程中。 - DLL_THREAD_DETACH:线程结束时触发,表示 DLL 正在从线程中卸载。 - DLL_PROCESS_DETACH:该 DLL 从进程空间中卸载时触发,表示 DLL 正在...
这段代码有什么用:case DLL_PROCESS_ATTACH: case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH:
03-06
其中,DLL_PROCESS_ATTACH 表示当进程加载该 DLL 时执行的操作,DLL_THREAD_ATTACH 表示当线程创建时执行的操作,DLL_THREAD_DETACH 表示当线程结束时执行的操作,DLL_PROCESS_DETACH 表示当进程卸载该 DLL 时执行的...
python dll注入监听_HOOK -- DLL远程注入技术详解(1)
weixin_30894765的博客
02-19 1292
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一...
dll远程注入
wwpp的博客
06-16 1854
防止远程dll注入
如何防止第三方DLL注入自己的进程?
shada的专栏
07-14 726
设置 (0x1) 以防止进程加载未由 Microsoft、Windows 应用商店和 Windows 硬件质量实验室 (WHQL) 签名的图像;测试结论是没有起到作用,这是因为SetProcessMitigationPolicy是在程序启动后调用的,调用前就已经被注入了。设置 (0x1) 以防止进程加载未由 Windows 应用商店签名的图像;设置 (0x1) 以防止进程加载未由 Microsoft 签名的图像;这个结构包含用于加载映像的进程缓解策略设置,具体取决于映像的签名。
(转)反远程线程注入 的思路
gxj1680的专栏
12-20 1035
作者: churui 2005-11-05 12:22 某日,遇到一个奇怪的程序(你也许并不关心它的名字,我们就姑且称它为程序A)。这个程序是十分霸道的,在与我的程序(你也肯定不会关心它的名字,所以我们称为程序B)同时执行的时候,总能从程序B(这里也就是进程B了)的数据段中读取到一些内容。这一点让我非常不爽,于是我决定给B加入自我保护的功能,让A不能轻易的读取。听起来有点象“磁心大战”?呵呵
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2732
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
Hacker编程系列-远线程注入
11-18 531
转载:http://blog.csdn.net/whatday/article/details/8975930 一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程dll注入,另一种是远程代码的注入。后者相对起来更加隐蔽,也更难被杀软检测
基于应用层自身反远程线程注入的研究
weixin_30387423的博客
08-08 783
  基于应用层自身反远程线程注入的研究 现状:   目前所有已知的反远程注入方式:   r0层hook 句柄的获取,返回失败,让应用层注入者拿不到目标进程的句柄,如hook ntopenprocess ntdublicatehandle   R0层监控 线程创建,比较当前进程句柄 和ntcreatethread 注入进程句柄是否相同,如果不同则判定为 注入行为   R0层 对常规...
[Windows编程] DLL_THREAD_DETACH 认识误区
weixin_34072637的博客
06-01 227
DLL 里面使用TLS (Local Thread Storage) 的常见做法是:在DLLMain的DLL_PROCESS_ATTACH/DLL_THREAD_ATTACH 被调用的时候为每个线程Thread)分配内存,而在DLL_THREAD_DETACH/DLL_PROCESS_DETACH 被调用的时候释放内存。 MSDN文章《Using Thread Local Storage in ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 调试进程 ATTACH 附着目标进程 | 读取目标函数寄存器值并存档 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-04 1035
一、调试进程 ATTACH 附着目标进程、 二、读取目标函数寄存器值并存档、 1、主要操作流程、 2、ptrace 函数 PTRACE_GETREGS 读取寄存器值、
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值