反DLL注入又不想插入所有进程去HOOK 也不想用驱动的方法请问还有啥办法-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼不HOOK，也不用驱动，怎么拦截DLL的注入？ LZ干脆这样问：不想动手，也不想动口，怎么吃饭？ 2013-1-8 22:11 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 3 楼哥们不是不HOOK 我是说不用注入别人进程的方式去HOOK 有没有办法不要干扰别人的进程去监视他 2013-1-8 22:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼不想从应用层去HOOK拦截，那就只有从驱动层去处理和过滤 2013-1-8 22:24 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼要么Ring3，要么Ring0，除此之外别无他法 2013-1-8 22:28 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 6 楼我的意思是说有没有办法不注入别人的进程去监视去HOOK 他们 2013-1-8 22:30 0
卧龙先生雪币： 56 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 22 粉丝 0 关注私信	卧龙先生 7 楼 hook 自身的 LoadLibraryEx 该函数运行前，对要加载的DLL进行MD5校验，MD5库可以自己在不同系统下获取最基本的。此方法可以对抗rring3下的注入.驱动下的就没有办法了. 2013-1-8 22:33 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼 LZ是要监视别的进程... 2013-1-8 22:38 0
soechin 雪币： 69 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 145 粉丝 0 关注私信	soechin 9 楼不想監視別人，就只能監視自己了，把程式用到的每小塊記憶體都算出hash記錄下來，編出白名單，一有什麼風吹草動就給它ooxx… 2013-1-9 00:24 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 10 楼 hook 别人的进程是可以不用注入o.... 2013-1-9 00:48 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 11 楼哥们都说说方法不要只说可以不可以 2013-1-9 10:40 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 12 楼啥意思不明白 2013-1-9 10:41 0
永垂不朽雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 149 粉丝 0 关注私信	永垂不朽 13 楼你写个服务吧，时刻检测。变杀毒了！！！！ 2013-1-9 16:50 0
zhaoleimxd 雪币： 44 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zhaoleimxd 14 楼也可以不用md5校验，所有导入表之外的模块全否掉，但是这个方法太软弱，别人可以用导入表来注入或者远程写入PELoader来注入。驱动级别也可以注入最好的方法还是用驱动来拦截。只能加大别人注入的难度，总是可以注入的。 2013-1-9 20:19 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 15 楼驱动绝对不行因为我的用户很多事网吧用户网吧是禁止加载去驱动的 2013-1-10 19:41 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 16 楼如果要防范自己的进程被DLL注入, 可以直接拦一个好象叫UserModeCallback的入口(在32位XP系统上的好象在PEB偏移0x2C处, 时间太长记不准了), 然后再加上拦LoadLibraryExW, 可以解决绝大部分的DLL注入问题. 2013-1-10 20:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼不HOOK，也不用驱动，怎么拦截DLL的注入？ LZ干脆这样问：不想动手，也不想动口，怎么吃饭？ 2013-1-8 22:11 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 3 楼哥们不是不HOOK 我是说不用注入别人进程的方式去HOOK 有没有办法不要干扰别人的进程去监视他 2013-1-8 22:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼不想从应用层去HOOK拦截，那就只有从驱动层去处理和过滤 2013-1-8 22:24 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼要么Ring3，要么Ring0，除此之外别无他法 2013-1-8 22:28 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 6 楼我的意思是说有没有办法不注入别人的进程去监视去HOOK 他们 2013-1-8 22:30 0
卧龙先生雪币： 56 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 22 粉丝 0 关注私信	卧龙先生 7 楼 hook 自身的 LoadLibraryEx 该函数运行前，对要加载的DLL进行MD5校验，MD5库可以自己在不同系统下获取最基本的。此方法可以对抗rring3下的注入.驱动下的就没有办法了. 2013-1-8 22:33 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼 LZ是要监视别的进程... 2013-1-8 22:38 0
soechin 雪币： 69 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 145 粉丝 0 关注私信	soechin 9 楼不想監視別人，就只能監視自己了，把程式用到的每小塊記憶體都算出hash記錄下來，編出白名單，一有什麼風吹草動就給它ooxx… 2013-1-9 00:24 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 10 楼 hook 别人的进程是可以不用注入o.... 2013-1-9 00:48 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 11 楼哥们都说说方法不要只说可以不可以 2013-1-9 10:40 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 12 楼啥意思不明白 2013-1-9 10:41 0
永垂不朽雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 149 粉丝 0 关注私信	永垂不朽 13 楼你写个服务吧，时刻检测。变杀毒了！！！！ 2013-1-9 16:50 0
zhaoleimxd 雪币： 44 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zhaoleimxd 14 楼也可以不用md5校验，所有导入表之外的模块全否掉，但是这个方法太软弱，别人可以用导入表来注入或者远程写入PELoader来注入。驱动级别也可以注入最好的方法还是用驱动来拦截。只能加大别人注入的难度，总是可以注入的。 2013-1-9 20:19 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 15 楼驱动绝对不行因为我的用户很多事网吧用户网吧是禁止加载去驱动的 2013-1-10 19:41 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 16 楼如果要防范自己的进程被DLL注入, 可以直接拦一个好象叫UserModeCallback的入口(在32位XP系统上的好象在PEB偏移0x2C处, 时间太长记不准了), 然后再加上拦LoadLibraryExW, 可以解决绝大部分的DLL注入问题. 2013-1-10 20:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

反DLL注入 又不想插入所有进程去HOOK 也不想用驱动的方法 请问还有啥办法

反DLL注入又不想插入所有进程去HOOK 也不想用驱动的方法请问还有啥办法