|
阅读:1718回复:8
线程回调检测注入的问题?
我使用回调函数检测进程注入,想看看有什么恶意的注入行为,但是我发现许多正常的程序都在System进程下创建新的线程,这个是什么原因呢?怎么可以把这种正常行为和恶意的行为区别开呢?有没有更好的办法在内核下检测注入呢?
|
|
|
沙发#
发布于:2007-11-08 10:21
自己顶一个,难道大家都没有发现这个现象吗?
期待解决中.... |
|
|
板凳#
发布于:2007-11-08 11:00
试试对尝试注入的模块进行MD5校验,建立规则包,类似TinyFirewall的做法。
菜鸟意见,仅供参考,如遇bug,纯属正常。 |
|
|
|
地板#
发布于:2007-11-08 15:09
再顶一个!
|
|
|
地下室#
发布于:2007-11-08 16:50
帮你顶!
|
|
|
|
5楼#
发布于:2007-11-08 18:07
自己再顶一个,有没有人知道注入到System是做什么的?
|
|
|
6楼#
发布于:2007-11-17 19:27
只见过有人说Explorer会经常在里面建立线程
 |
|
|
|
7楼#
发布于:2007-11-18 08:18
inline hook NtCreateThread系列~或者hook pspCreateXXXX也可以~
据说大家现在用ImageNotifyRoutine过滤非shellcode注入很有奇效~ |
|
|
|
8楼#
发布于:2007-11-18 08:19
还有一个检查方法就是看线程context.regEip~~
|
|
|