防止某个进程被注入，应该怎么设置呢

显示全部楼层 · 发表于 2012-4-27 21:15:52

RT
如题

显示全部楼层 · 发表于 2012-4-27 22:00:34

本帖最后由 fi2006ao 于 2012-4-27 22:30 编辑

这是我的想法，我也才接触不久
防止某进程被注入（武装该进程）
也可以等于：
阻止所有程序注入（去掉后来程序的武装）

想法而已，规则是不是这么写的就不知道了
我现在还开的学习模式，打算一直学习一周再开始使用

显示全部楼层 · 发表于 2012-4-27 22:09:17

fi2006ao 发表于 2012-4-27 22:00
这是我的想法，我也才接触不久
防止某进程被注入（武装该进程）
也可以等于：

恩，谢谢，虽然没看明白。。
感觉现在论坛里高手走了好多
学习模式开一次把常用的程序一遍一遍打开就可以换掉了
学习模式=全部允许
刚学的话，你可以先看看一些精品贴

显示全部楼层 · 发表于 2012-4-27 22:34:21

如果你开上一周，学习模式毛豆变成大豆了！会卡。

显示全部楼层 · 发表于 2012-4-27 22:39:15

这么多人说毛豆卡！原因就在这！可以100%，肯定。开学习模式后，自己去规则修敢下。然后敢回安全模式

显示全部楼层 · 发表于 2012-4-27 22:51:38

如图，勾选活动，看看行不行，我也没试过，反正有全局在监控呢！
可以的话，估计还要加排除吧！

显示全部楼层 · 发表于 2012-4-27 22:53:10

听人说我们是无法从毛豆看出被挂钩子的目标程序，只能看到钩子和源文件

显示全部楼层 · 发表于 2012-4-27 23:11:16

防注入也不是100%，遇到懂爆破的人就完了

显示全部楼层 · 发表于 2012-4-28 09:54:46

本帖最后由 myzuzong 于 2012-4-28 10:00 编辑

只要搞清楚什么是“注入”，和注入其它进程的方式，就知道怎么防御了。

所谓注入，就是程序把自己的代码放到别的进程的地址空间去执行，来对这个进程进行操作，获得、修改进程的数据等。把自己的代码放入别的进程的地址空间，可以让别的进程加载自己的DLL，也可以直接在别的进程地址空间创建远程线程。

进程注入的方法主要有：（1）修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs，全局注入DLL到所有使用User32.dll的进程；（2）消息钩子；（3）CreateRemoteThread；（4）Fake DLL。

防（1），用RD；防（2）和（3），在AD里对应的是钩子和访问内存；防（4）一定程度上可以用FD。白+黑也是（4），但是没啥好办法防（无限弹窗流就不要说了）。

显示全部楼层 · 发表于 2012-4-28 14:56:34

毛豆安装完毕直接疯狂模式，从不学习

[求助] 防止某个进程被注入，应该怎么设置呢

本帖子中包含更多资源