防止某个进程被注入，应该怎么设置呢

accordion

岁月遐想 发表于 2012-4-27 22:51
如图，勾选活动，看看行不行，我也没试过，反正有全局在监控呢！
可以的话，估计还要加排除吧！

窗口钩子能防全局钩子捕获


一般的程序都选择直接注入内存然后让程序执行自己的代码，比如说注入explorer。。。


详情看9楼

accordion

myzuzong 发表于 2012-4-28 09:54
只要搞清楚什么是“注入”，和注入其它进程的方式，就知道怎么防御了。

所谓注入，就是程序把自己的代码 ...

请问大侠   windows message也可以做到这点？ FAKEDLL 的原理？

不懂求解

myzuzong

accordion 发表于 2012-4-28 17:14
请问大侠   windows message也可以做到这点？ FAKEDLL 的原理？

不懂求解

Windows向应用程序发送消息前检查是否注册了消息钩子，如果有注册了的钩子，就调用钩子函数，如果钩子函数在一个dll里面，而dll尚未映射到进程内存空间，就调用LoadLibrary加载该dll。这就可以说“dll注入”了。

后面那个问，就是替换正常的dll，让exe加载病毒dll，这样我们的病毒dll就映射到了应用程序的地址空间，可能不太恰当，但也可以说成“dll注入”吧。最近流行的白+黑不就是这样吗。

sky1987

myzuzong 发表于 2012-4-28 09:54
只要搞清楚什么是“注入”，和注入其它进程的方式，就知道怎么防御了。

所谓注入，就是程序把自己的代码 ...

高手啊，分析的很具体
请问有什么好点的方法判断程序是否被注入了呢
带dll的注入似乎用XT等可以找出来
无dll的就很麻烦了，像我这样的小菜是不会看线程的= =
因为我试过，注入进程型的远控木马一旦中了，comodo完全无力，受保护的文件照样删，结束进程也没任何提示

myzuzong

sky1987 发表于 2012-4-29 13:43
高手啊，分析的很具体
请问有什么好点的方法判断程序是否被注入了呢
带dll的注入似乎用XT等可以找出来
...

已经被注入，要判断还是得看模块、线程、内存。不会看就不看了吧。无DLL的总得把自己的代码复制到另一个进程空间，比如用WriteProcessMemory，这种东西肯定报访问进程内存。所以访问进程内存关口还是把严一点吧，不要轻易放行，像360都认为创建远程线程是比较典型的木马行为。comodo是进程级的授权，一旦病毒在受信任进程如系统进程等创了线程，就肯定防不了了。