版块
论坛
喜欢
话题
应用
搜索
登录
注册
chenting1987的个人空间
访问量
1
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=163979
线程回调检测注入的问题?
我使用回调函数检测进程注入,想看看有什么恶意的注入行为,但是我发现许多正常的程序都在System进程下创建新的线程,这个是什么原因呢?怎么可以把这种正常行为和恶意的行为区别开呢?有没有更好的办法在内核下检测注入呢?
回复
(
8
)
2007-11-07 20:39
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
killvxk
:
还有一个检查方法就是看线程context.regEip~~
(2007-11-18 08:19)
回复
killvxk
:
inline hook NtCreateThread系列~或者hook pspCreateXXXX也可以~ 据说大家现在用ImageNotifyRoutine过滤非shellcode注入很有奇效~
(2007-11-18 08:18)
回复
wdnfa
:
只见过有人说Explorer会经常在里面建立线程
(2007-11-17 19:27)
回复
chenting1987
:
自己再顶一个,有没有人知道注入到System是做什么的?
(2007-11-08 18:07)
回复
ljh1021
:
帮你顶!
(2007-11-08 16:50)
回复
bladellz
:
再顶一个!
(2007-11-08 15:09)
回复
ljh1021
:
试试对尝试注入的模块进行MD5校验,建立规则包,类似TinyFirewall的做法。 菜鸟意见,仅供参考,如遇bug,纯属正常。
(2007-11-08 11:00)
回复
chenting1987
:
自己顶一个,难道大家都没有发现这个现象吗? 期待解决中....
(2007-11-08 10:21)
回复
chenting1987
加关注
写私信
0
关注
0
粉丝
53
帖子
返回顶部