-
我使用回调函数检测进程注入,想看看有什么恶意的注入行为,但是我发现许多正常的程序都在System进程下创建新的线程,这个是什么原因呢?怎么可以把这种正常行为和恶意的行为区别开呢?有没有更好的办法在内核下检测注入呢?
◆
◆
-
killvxk:还有一个检查方法就是看线程context.regEip~~(2007-11-18 08:19)
-
killvxk:inline hook NtCreateThread系列~或者hook pspCreateXXXX也可以~ 据说大家现在用ImageNotifyRoutine过滤非shellcode注入很有奇效~(2007-11-18 08:18)
-
chenting1987:自己再顶一个,有没有人知道注入到System是做什么的?(2007-11-08 18:07)
-
ljh1021:帮你顶!(2007-11-08 16:50)
-
bladellz:再顶一个!(2007-11-08 15:09)
-
ljh1021:试试对尝试注入的模块进行MD5校验,建立规则包,类似TinyFirewall的做法。 菜鸟意见,仅供参考,如遇bug,纯属正常。(2007-11-08 11:00)
-
chenting1987:自己顶一个,难道大家都没有发现这个现象吗? 期待解决中....(2007-11-08 10:21)
