检测某进程中是否被注入非法DLL
yann2 2016-11-07 02:02:14 比如进程A,遍历进程模块,如何知道是否被注入了非法模块呢?
麻烦的在于
第一:要过滤掉系统的,不同系统 可能加载的模块不同 特征也不同
第二:考虑到有一些是第三方的正常模块(比如输入法)
需求是检测到指定模块为非法,同时过滤掉正常的三方模块
本来考虑过
1. 校验模块MD5,但是目标模块可以通过每次加载前改变模块特征 所以pass
2. 检测模块窗口特征,但是目标模块可以改变这块数据 或者 hookAPI pass
现在没什么好的思路,大神们集思广益吧,谢谢!!