DLL_THREAD_ATTACH防止远程线程注入

最新推荐文章于 2023-05-17 16:48:12 发布
最新推荐文章于 2023-05-17 16:48:12 发布
阅读量5.3k 收藏 4
点赞数
分类专栏: thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/45510519
版权 
/*
原理:
当创建线程时,系统会向当前进程所有dll发送DLL_THREAD_ATTACH通知
此时新的线程已经被创建但尚未执行,更精切的说已经创建了线程内核对象、线程堆栈等资源
正处于初始化阶段。只有在每个dll正常处理了DLL_THREAD_ATTACH线程才开始执行
对于远程线程本质上和本地线程完全一样,区别在于由其他进程创建
如果在接受DLL_THREAD_ATTACH时通知结束线程,线程就无法执行,也防止了远程线程注入的效果

下面直接上代码
*/
//
//应用程序部分
#include <windows.h>
#include <stdio.h>

DWORD ThreadProc(  LPVOID lpParameter);
typedef FARPROC (*add) (bool);
int main (void)
{
	HANDLE Thread;        
	HMODULE hDll=LoadLibrary("dll.dll");
	if (hDll)
	{

		add address=(add)GetProcAddress(hDll,"SetStatus");
		if (address)
		{
			address(TRUE);//正常创建线程设置true
		}
		Thread=CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)ThreadProc,NULL,0,NULL);
		Sleep(100);
		FreeLibrary(hDll);

	}
	else
	{
		printf("dll加载失败!");
		return 0;
	}        
	return 0;
}

DWORD ThreadProc(  LPVOID lpParameter)
{
	for (int i=0;i<10;i++)
	{
		printf("%d\n",i);
	}
	return TRUE;
}





/
//dll部分
#include <windows.h>
#include <stdio.h>
BOOL bStatus=FALSE;

//设置线程创建标识

void SetStatus(bool status)
{
	bStatus=status;
	return;
}

BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			OutputDebugString(TEXT("加载dll"));
		}
		break;
	case DLL_THREAD_ATTACH:
		{
			OutputDebugString(TEXT("新建线程"));                
			if (bStatus==FALSE)
			{
				//如果线程创建标识为FALSE,就直接结束
				OutputDebugString(TEXT("线程被结束"));
				TerminateThread(GetCurrentThread(),0);
				//貌似执行这个主线程也挂了。FreeLibrary和关闭按钮也无反应了。
			}
			else
			{
				//每次创建线程合法后就自动关闭线程标识
				//每次设置合法线程标识只能使用一次
				OutputDebugString(TEXT("线程正常创建执行"));
				SetStatus(false);
			}

		}
		break;
	case DLL_THREAD_DETACH:
		{
			OutputDebugString(TEXT("线程退出"));
		}
		break;
	case DLL_PROCESS_DETACH:
		{
			OutputDebugString(TEXT("释放dll"));
		}
		break;
	}
	return TRUE;
}

125096
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
R3最强防远程创建线程(防线程注入)-易语言
06-11
之前发过这个的测试程序在论坛上,也说过之后会发源码但是后来我忘了,今天看了看消息有个人一直在关注这个源码 所以顺手发一发源码,这个DLL源码是调用了我之前发过的一个模块源码 https://bbs.125.la/forum.php?mod=viewthreadtid=14336053extra= 自己去下吧 因为差不多一年前的源码了,我写代码也从来不做备注(除非复杂的东西),所以有什么小问题自己动动手,也是对自己有好处。
[Windows编程] DLL_THREAD_DETACH 认识误区
weixin_34072637的博客
06-01 197
DLL 里面使用TLS (Local Thread Storage) 的常见做法是:在DLLMain的DLL_PROCESS_ATTACH/DLL_THREAD_ATTACH 被调用的时候为每个线程Thread)分配内存,而在DLL_THREAD_DETACH/DLL_PROCESS_DETACH 被调用的时候释放内存。 MSDN文章《Using Thread Local Storage in ...
谨慎使用DLL_THREAD_ATTACH,以及利用DLL_THREAD_ATTACH来阻止远程线程的创建执行
Ginvar的专栏
08-19 7768
DLL_THREAD_ATTACH的调用时机 当进程创建一个线程的的时候,系统会检查当前映射到该进程的地址空间中的所有DLL文件映像,并用DLL_THREAD_ATTACH来调用每个DLLDllMain函数,新创建的线程负责执行所有DLLDllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。 此时新线程已经被创建但尚未
DLL文件_DLLMain函数详解
weixin_46967682的博客
10-01 5139
目录**CODE**1.DLLMain函数类型-APIENTRY CODE //核心的入口函数,动态链接库入口函数 BOOL APIENTRY DllMain( HMODULE hModule, //APIENTRY可以换成WINAPI或者_stdcall 是一种调用约定 DWORD ul_reason_for_call, LPVOID lpReserved )
Dll学习(一)--DllMain函数
dylan的专栏
09-15 688
1、首先看一下一个空的Dll。      vc6.0环境,new-->project-->Win32 Dynamic-Link Library-->A simple Dll project// SimpleDll.cpp : Defines the entry point for the DLL application. // #include "stdafx.h" BOOL APIENTRY DllMain( HANDLE hModule,
动态链接库DLL
taianmei的专栏
06-04 391
《Windows核心编程》 第IV部分 动态链接库 第20章,DLL高级技术 问题一:动态加载DLL时,SetDllDirectory的作用 正常情况下, 一个可执行模块LoadLibrary单独一个DLL,没有任何问题;但如果该DLL还依赖于其他DLL模块,且和可执行模块不在同一级目录下,那么直接调用LoadLibrary会返回错误“找不到该DLL” ; 这种应用常见于集
Dll_Create.zip
10-02
- `DLL_THREAD_ATTACH`:当进程创建新线程时触发,如果DLL需要线程局部存储,这里进行初始化。 - `DLL_THREAD_DETACH`:当线程结束时触发,清理线程相关的资源。 - `DLL_PROCESS_DETACH`:当DLL从进程空间卸载时...
DLL初始化.rar
04-04
常见的`fdwReason`值包括`DLL_PROCESS_ATTACH`(进程附加)、`DLL_THREAD_ATTACH`(线程附加)和`DLL_THREAD_DETACH`(线程分离),分别对应于DLL被进程加载、线程创建和线程销毁的时刻。 2. **DLL_PROCESS_ATTACH*...
vb6 dll 注入
09-17
ATTACH”,说明.dll已经被注入并且被调用了,随后再弹出一个对话框,显示的是当前进程加载的所有模块的文件名,当然其中也包含我们的.dll文件,之后弹出对话框提示“DLL_THREAD_DEATH”,线程结束,当记事本进程结束...
020-1-DLL动态链接库及入口函数.flv
06-13
case DLL_THREAD_ATTACH: break; //进程创建一个线程时,DLL执行与线程相关的初始化 case DLL_THREAD_DETACH: //ExitThread线程终止 break; case DLL_PROCESS_DETACH: //将一个DLL从进程的地址空间中撤销...
深入浅出VC++动态链接库_DLL_编程
05-31
case DLL_THREAD_ATTACH: // 新线程进入DLL时的操作 break; case DLL_THREAD_DETACH: // 线程退出DLL时的操作 break; case DLL_PROCESS_DETACH: // DLL卸载时的操作 break; default: break; } ...
dll远程注入
wwpp的博客
06-16 1543
防止远程dll注入
使用DLL_THREAD_ATTACH阻止远程线程
huobengle
09-06 345
当进程创建一个线程的的时候,系统会检查当前映射到该进程的地址空间中的所有DLL文件映像,并用DLL_THREAD_ATTACH来调用每个DLLDllMain函数,新创建的线程负责执行所有DLLDllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。 此时新线程已经被创建但尚未执行,更精确的说已经创建了线程内核对象、线...
动态链接库(DLL)入口/出口点
jjunjoe的专栏
03-02 4181
<br />链接库入口/出口点<br />当动态链接库首次启动和结束时,我们呼叫了DllMain函数。DllMain的第一个参数是链接库的执行实体句柄。如果您的链接库使用需要执行实体句柄(诸如DialogBox)的资源,那么您应该将hInstance储存为一个整体变量。DllMain的最后一个参数由系统保留。<br />fdwReason参数可以是四个值之一,说明为什么Windows要呼叫DllMain函数。在下面的讨论中,请记住一个程序可以被加载多次,并在Windows下一起执行。每当一个程序加载时,它都
Dll中创建线程?No,大错特错
whl0071的专栏
12-19 1022
Dll中创建线程?No,大错特错,容易死锁
应用层阻止远程线程注入
XboxMicro
02-19 2347
利用DLL_THREAD_ATTACH即可。当有新线程加入时,进行过滤即可。 BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad) 2 { 3 switch (fdwReason) 4 { 5 6 case DLL_PROCESS_ATTACH: 7 8
DLL_THREAD_DETACH 认识误区
cqyczj的专栏
04-15 1247
DLL 里面使用TLS (Local Thread Storage ) 的常见做法是:在DLLMain的DLL_PROCESS_ATTACH/DLL_THREAD_ATTACH 被调用的时候为每个线程Thread)分配内存,而在DLL_THREAD_DETACH/DLL_PROCESS_DETACH 被调用的时候释放内存。 MSDN文章《Using Thread Local Storage
Visual C++中动态链接库技术浅谈
fxpopboy的博客
01-02 756
摘要:本文比较了Visual C++所支持的三种动态链接库,列出了各自不同的特点和应用场合,详细地描述了三种动态链接库的建立和调用的方法。  关键字:动态链接库;导出函数;调用  引言  较大的应用程序都由很多模块组成,这些模块分别完成相对独立的功能,它们彼此协作来完成整个软件系统的工作。在构造软件系统时,如果将所有模块的源代码都静态编译到整个应用程序的EXE文件中,会产生一些问题:一个缺点是增加
dll注入技术
Tandy12356_的博客
05-17 3885
通过dll注入技术实现限制网瘾少年的目的!
DLL_PROCESS_ATTACH DLL_THREAD_ATTACH DLL_THREAD_DETACH DLL_PROCESS_DETACH
最新发布
05-24
这是关于动态链接库(DLL)的四个常量,分别表示 DLL 的四个生命周期阶段: - DLL_PROCESS_ATTACH:该 DLL 被映射到进程空间时触发,表示 DLL 正在被附加到进程中。 - DLL_THREAD_ATTACH:新线程创建时触发,表示 DLL 正在被附加到线程中。 - DLL_THREAD_DETACH线程结束时触发,表示 DLL 正在从线程中卸载。 - DLL_PROCESS_DETACH:该 DLL 从进程空间中卸载时触发,表示 DLL 正在从进程中卸载。 这些常量通常用于编写 DLL 的初始化和清理代码。当 DLL 被加载时,可以在 DLL_PROCESS_ATTACH 阶段执行初始化代码,而在 DLL_PROCESS_DETACH 阶段执行清理代码。同样地,可以在 DLL_THREAD_ATTACH 阶段执行线程特定的初始化代码,在 DLL_THREAD_DETACH 阶段执行清理代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值