首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
谁对防止dll入侵有研究,小弟请教阿
发表于: 2004-10-27 15:44 6295

谁对防止dll入侵有研究,小弟请教阿

阵雨 活跃值
2004-10-27 15:44
6295
不知道有哪些方法可以防止外来dll入侵呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (16)
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
论坛里面底层编程高手寥寥无几阿
2004-10-27 16:31
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
晕,激将法也不管用,难道要施美男计么?
哈哈:D
2004-10-28 01:17
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
up
2004-10-28 20:50
0
nOpnOp
雪    币: 236
活跃值: (155)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
比较土一些的办法是,定时释放一些非本进程的DLL。
2004-10-28 21:51
0
riijj
雪    币: 2319
活跃值: (565)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
6
我只研究入侵,没有想 “防止” 的方法~~  哈哈  :D

第一个想到的方法,就是你的程序不停用 CreateToolhelp32Snapshot, Module32First检查自己拥有的 module,如果见到不是自己的,便 FreeLibrary 它

这不是预防的方法,只是清除入侵者。而且当 dll 加载的时候,它的 dllmain 被执行,已经可以干很多事

我不知道如果你把自己程序的 LoadLibrary 的 IAT address修改,可不可以防止你的程序进行任何加载的动作。我觉得别人用 SetWindowHookEx 对你的程序进行动作时, SetWindowHookEx 是以另一种方式来加载 module 到你程序,而不会透过你自身的 LoadLibrary call
2004-10-28 21:53
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 nOpnOp 发布
比较土一些的办法是,定时释放一些非本进程的DLL。

这种方法不好,只能说是赶走入侵者,没有达到真正防御的目的,等你赶走他的时候他已经把你蹂躏的不成样了
2004-10-29 13:59
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 riijj 发布
我只研究入侵,没有想 “防止” 的方法~~ 哈哈 :D

第一个想到的方法,就是你的程序不停用 CreateToolhelp32Snapshot, Module32First检查自己拥有的 module,如果见到不是自己的,便 FreeLibrary 它

这不是预防的方法,只是清除入侵者。而且当 dll 加载的时候,它的 dllmain 被执行,已经可以干很多事
........

钩子也是通过LoadLibrary入侵进来的,我现在能把钩子完全地挡住
2004-10-29 14:02
0
云重
雪    币: 213
活跃值: (96)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
9
想都不要想了,杀毒软件的进程被病毒给终止了都不是什么新闻,人家厂商技术不比你强啊,类似的问题基本没必要问.如果你不喜欢别人用的写的动态链接库,你写成静态库算了,动态链接库目的不就是给大家用吗?
2004-10-29 16:42
0
采臣·宁
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
10
不懂,我就不装懂了,但贴子还是一定要回的
2004-10-29 16:58
0
playar
雪    币: 199
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
CreateRemoteThread...嘿嘿,这种方法很难挡住的
除非把好多api都挂接了
2004-10-29 17:13
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
最初由 云重 发布
想都不要想了,杀毒软件的进程被病毒给终止了都不是什么新闻,人家厂商技术不比你强啊,类似的问题基本没必要问.如果你不喜欢别人用的写的动态链接库,你写成静态库算了,动态链接库目的不就是给大家用吗?

你有没有看清楚我的问题,问题是防止外来dll的入侵,我的问题和杀毒软件进程被病毒kill有关系吗?难道要kill进程必须先插个dll进去?我看你是个白痴,
你最好以后闭嘴好了,你说的每一个字前人都说了N次了,难道人家播音员发音不比你准,shut up!
2004-10-29 18:10
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
气愤~
2004-10-29 18:10
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
讨论总无罪吧?
2004-10-29 18:11
0
EyZ/29A
雪    币: 234
活跃值: (160)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
15

你的头像中的人好恶心,是不是你自己啊。
2004-10-29 22:24
0
云重
雪    币: 213
活跃值: (96)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
很遗憾我不太清楚  dll入侵 这个专业术语,估计你发明的.请使用专业点的说法.
我不知道你是否意思是说防止远程线程将DLL注入目标进程.

将远程线程要执行的代码写到DLL文件中,再在目标进程申请内存将DLL文件名写入,最后将目标进程的地址空间中的LoadLibrary函数当做线程函数开执行.参数就是DLL文件名,这样LoadLibrary函数返回的时候.远程线程结束但是DLL也被装入到目标进程中,在线程入口函数创建新的线程就可以执行想要执行的代码.
当然病毒没必要用这么种方法,而且这个方面的资料很多,也不想多谈,可能我还是无法理解你的 专业术语 dll入侵这种说法,只是曲解.
playar 说的再加上点汇编技巧, 权某人不要创专业术语,就好象不要创造汉字一样
2004-10-29 22:26
0
阵雨
雪    币: 216
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
我只是想把问题说形象一点,你硬要说我创专业术语,不解
2004-10-29 22:53
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//