应用层阻止远程线程注入

最新推荐文章于 2022-06-16 16:29:26 发布
最新推荐文章于 2022-06-16 16:29:26 发布
阅读量2.3k 收藏 2
点赞数

利用DLL_THREAD_ATTACH即可。当有新线程加入时,进行过滤即可。

 BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad) 
 2 {
 3     switch (fdwReason) 
 4     {
 5 
 6     case DLL_PROCESS_ATTACH:
 7 
 8             break;
 9     
10     case DLL_THREAD_ATTACH:
11             // A new thread is being created in the current process.
12             break;
13         
14     case DLL_THREAD_DETACH:
15         // A thread is exiting cleanly.
16         break;
17 
18     case DLL_PROCESS_DETACH:
19         // The calling process is detaching the DLL from its address space.
20         break;
21     }
22     return(TRUE);
23 }


这里有一种办法解决: 

            hThread = GetCurrentThread();
            NtQueryInformationThread(hThread, ThreadQuerySetWin32StartAddress, &dwStaAddr, sizeof(dwStaAddr), &dwReturnLength);
            VirtualQuery(dwStaAddr, &mbi, sizeof(mbi));
            if (mbi.AllocationBase != GetModuleHandle(NULL)) {
                TerminateThread(hThread, 0);
            }


还有一张办法是用NtQueryInformationThread获得线程入口点地址,然后判断机器指令是否为LoadLibraryA即可。显然这种方法比较挫。



BMOP
关注
二、C++反作弊对抗实战 (进阶篇 —— 17.如何内存校验保护代码段、对抗远程线程注入)
Koma的主页
03-05 1187
这一章节将重点介绍如何利用内存校验防止第三方模块或辅助软件恢复我们的HOOK或者篡改任意代码段,配套全程在2.17目录,本专栏所有内容仅供学习参考,我们应当坚决抵制任何不非行为!
技术分享 | DLL注入之远线程注入
Jeeseen123的博客
10-13 384
0x00 远线程注入线程注入是指一个进程在另一个进程创建线程的技术。 0x01 函数介绍 OpenProcess 作用: 打开现有的本地进程对象。 函数声明: HANDLE WINAPI OpenProcess( _In_ DWORD dwDesiredAccess, _In_ BOOL bInheritHandle, _In_ DWORD dwProcessId ) 参数: dwDesiredAccess: 想拥有该进程的访问权限,若进程启动了SeDebugPrivile
R3最强防远程创建线程(防线程注入)-易语言
06-11
之前发过这个的测试程序在论坛上,也说过之后会发源码但是后来我忘了,今天看了看消息有个人一直在关注这个源码 所以顺手发一发源码,这个DLL源码是调用了我之前发过的一个模块源码 https://bbs.125.la/forum.php?mod=viewthreadtid=14336053extra= 自己去下吧 因为差不多一年前的源码了,我写代码也从来不做备注(除非复杂的东西),所以有什么小问题自己动动手,也是对自己有好处。
DLL_THREAD_ATTACH防止远程线程注入
125096
05-05 5469
/* 原理: 当创建线程时,系统会向当前进程所有dll发送DLL_THREAD_ATTACH通知 此时新的线程已经被创建但尚未执行,更精切的说已经创建了线程内核对象、线程堆栈等资源 正处于初始化阶段。只有在每个dll正常处理了DLL_THREAD_ATTACH线程才开始执行 对于远程线程本质上和本地线程完全一样,区别在于由其他进程创建 如果在接受DLL_THREAD_ATTACH时通知结束线程,线
Win32环境下代码注入与API钩子的实现
weixin_30755393的博客
12-31 306
本文详细的介绍了在Visual Studio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。 API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典软件的屏幕取词,游戏修改软件的数据修改等。当然,此技术更多的是被黑客或是病毒用来攻击其它程序,截获需要的数据或...
(转)反远程线程注入 的思路
gxj1680的专栏
12-20 1003
作者: churui 2005-11-05 12:22 某日,遇到一个奇怪的程序(你也许并不关心它的名字,我们就姑且称它为程序A)。这个程序是十分霸道的,在与我的程序(你也肯定不会关心它的名字,所以我们称为程序B)同时执行的时候,总能从程序B(这里也就是进程B了)的数据段读取到一些内容。这一点让我非常不爽,于是我决定给B加入自我保护的功能,让A不能轻易的读取。听起来有点象“磁心大战”?呵呵
基于应用层自身反远程线程注入的研究
weixin_30387423的博客
08-08 754
  基于应用层自身反远程线程注入的研究 现状:   目前所有已知的反远程注入方式:   r0层hook 句柄的获取,返回失败,让应用层注入者拿不到目标进程的句柄,如hook ntopenprocess ntdublicatehandle   R0层监控 线程创建,比较当前进程句柄 和ntcreatethread 注入进程句柄是否相同,如果不同则判定为 注入行为   R0层 对常规...
易语言源码远程线程挂接DLL.7z
最新发布
05-13
远程线程就是在目标进程上下文创建的新线程,这样新线程就可以执行目标进程的代码或者我们注入的DLL的函数。 远程线程挂接的基本步骤包括: 1. 获取目标进程的句柄:使用易语言提供的系统调用,如`进程信息....
API Hooking技术详解:DLL注入远程线程
本文提到的使用远程线程注入DLL的方法,涉及到创建一个新的线程并在该线程调用LoadLibrary或其他API。首先,你需要创建一个DLL,该DLL包含要注入的代码。然后,在目标进程创建一个新线程,该线程的入口点位于你...
支持所有window所有平台的钩子注入应用层
10-09
【标题】:“支持所有Windows平台的钩子注入应用层”技术详解 在计算机编程领域,尤其是Windows系统下,钩子(Hook)注入是一种强大的技术,它允许程序在其他应用程序的执行流程插入自定义代码,以监控或改变特定...
delphi_win7_远程线程创建
12-17
本程序支持delphi在win7下远程线程注入,hook ie进程。一般采用createremote函数不支持win7.
DELPHI DLL注入源码
02-13
可以注入DLL到其他程序注入后执行读取修改 HOOK等操作 用途你懂的
易语言检测第三方防注入
07-22
易语言检测第三方防注入源码,检测第三方防注入,EnumMod,取公司名称,ImageList_Destroy,GetCurrentProcessId,ImageList_Create,CreateToolhelp32Snapshot,Module32First,Module32Next,GetFileVersionInfoSize,GetFileVersionInfo,VerQueryValue,RtlMoveMemory_
C++实现远程注入完美游戏CALL.docx
04-04
【C++实现远程注入完美游戏CALL】这篇教程是面向具有一定编程基础,特别是对外挂编程有一定了解的读者。教程旨在分享技术,而非用于非法目的。它以完美国际187版游戏为例,阐述了远程注入和全局DLL注入的技术,希望...
Hacker编程系列-远线程注入
11-18 501
转载:http://blog.csdn.net/whatday/article/details/8975930 一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者相对起来更加隐蔽,也更难被杀软检测
防dll远程注入
wwpp的博客
06-16 1645
防止远程dll注入
网站安全攻防数例
大猫钓鱼=^.^=
05-15 1127
近来,网络上的SQL Injection 漏洞利用攻击,JS脚本,HTML脚本攻击似乎逾演逾烈.陆续的很多站点都被此类攻击所困扰,并非像主机漏洞那样可以当即修复,来自于WEB的攻击方式使我们在防范或者是修复上都带来了很大的不便。HOOO…… 一个站长最大的痛苦莫过于此.自己的密码如何如何强壮却始终被攻击者得到,但如何才能做到真正意义上的安全呢?第一,别把密码和你的生活联系起来;第二,Superma
远程线程注入
LoveQuietly
10-05 794
贴一段来自某度的介绍 在一个进程,调用CreateThread或CreateRemoteThreadEx函数,在另一个进程内创建一个线程(因为不在同一个进程,所以叫做远程线程)。创建的线程一般为Windows API函数LoadLibrary,来加载一个动态链接库(DLL),从而达到在另一个进程运行自己所希望运行的代码的目的。 其实很简单 直接上代码 有两种注入方式一种是
Windows注入与拦截(4) -- 使用远程线程方式完成DLL注入
热门推荐
while(1) { smile(); }
04-02 4万+
一. 远程线程注入原理 前面几篇文章介绍了《Windows注入与拦截(2) – 使用注册表方式完成DLL注入》,《Windows注入与拦截(3) – 使用钩子方式完成DLL注入》这2种注入方式。“注册表注入方式”由于不能精确指定需要注入的进程,而且只能注入到GUI程序,灵活性较差;“钩子注入方式”虽然能够精确指定注入线程,但只能针对特定类型的消息进行Hook,从而间接的实现注入,对于类似wi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值