检测某进程中是否被注入非法DLL

yann2 2016-11-07 02:02:14

比如进程A，遍历进程模块，如何知道是否被注入了非法模块呢？

麻烦的在于
第一：要过滤掉系统的，不同系统可能加载的模块不同特征也不同
第二：考虑到有一些是第三方的正常模块（比如输入法）

需求是检测到指定模块为非法，同时过滤掉正常的三方模块

本来考虑过
1. 校验模块MD5,但是目标模块可以通过每次加载前改变模块特征所以pass
2. 检测模块窗口特征，但是目标模块可以改变这块数据或者 hookAPI pass

现在没什么好的思路，大神们集思广益吧，谢谢！！

...全文

1064 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

void_main_void 2016-11-12

打赏
举报

回复

黑白名单，将你所有任务安全合法的DLL名称全部记录下来，并且记录合法DLL的MD5 或者对记录DLL签名校验。

赵4老师 2016-11-08

打赏
举报

回复

奉劝楼主不要把有限的生命浪费在无限的加密解密死循环中！

BeanJoy 2016-11-07

打赏
举报

回复

这个太广泛了吧，怎么定义注入非法DLL，网络上那么多DLL，你怎么定义就是非法的？

encoderlee 2016-11-07

打赏
举报

回复

没有什么好办法，就像木马病毒一样，总是有免杀木马出现，世界上最先进的杀毒软件也有它不认识的木马病毒。可以考虑从注入手段上入手，常见的注入手段就那些一些，想办法进行封堵、过滤

oyljerry 2016-11-07

打赏
举报

回复

主要就是建立一些pattern了，比如黑名单等。

特别的内存注入，可注入任何进程，支持黑月，不非法，不异常，支持注入何种游戏！

课程结合多种Windows进程常用DLL注入技术。远程线程注入APC注入，异步调用过程，向目标线程插入待执行任务从而完成注入。窗口消息注入，指定窗口进程注入，与全局钩子注入类似。环境块注入，获取进程上下文信息，直接性修改程序执行流程完成注入。进程入口点注入，在程序初始化的时机前将dll模块文件注入至目标主线程。进程调试级注入，涉及调试器相关功能调用知识点dll模块重定位内存注入，模拟操作系统加载PE文件方式，直接将dll文件内存数据写入目标进程并执行。导入表注入，涉及PE相关知识点，增加区段，移动导入表，增加导入表、增加导出函数，修复表项数据等。内核驱动级Dll模块注入技术，内核驱动入门扩展。

针对使用USB Key硬件进行身份认证和数据签名时，存在PIN码明文传输被窃听及待签名数据有可能会被其他恶意程序篡改等安全威胁，提出了一种基于保护进程的USB Key软件安全架构，从USB Key驱动文件的完整性、防止USB Key进程被动态DLL注入和进程内存数据的非法修改等方面，确保USB Key进程的真实性和可信性，可以有效地防止PIN码的截获和USB Key进程内存数据被恶意程序修改，进而提高USB Key在使用过程中的安全性。

1、中文简繁互换：在简体中文和繁体中文之间进行转换。 2、进制转换：在二进制、八进制、十进制、十六进制之间相互转换。 3、人民币大小写互换：在Excel中，很多时候需要将小写的金额数字转换成大写，而Excel提供的函数转换出来的格式并不符合中国人的习惯，所以... 4、数字签名：对Excel表格中的内容进行签名保护，主要是防止提供者提供的内容被非法修改。可以用于Excel公文的电子签名，实现真正的无纸办公... 5、保存为图片文件：相当于Excel的照相机功能(有过之而无不及)。可以将Excel中的单元格区域、Shape对象、图片、图表等(甚至是组合形式)以gif、jpg、bmp等各式保存到磁盘中。 6、全功能批注----真正所见即所得的批注编辑器。 7、VB/VBA代码归纳与重写：对VB/VBA代码进行混淆，大大降低代码的可读性，是一种保护VB/VBA代码的很有效的方法。详细的注释说明和一目了然的名称将有助于设计阶段的调试和查错，但是代码一旦发布后，这些优点将会使黑客轻而易举地破解你的成果，呵呵，用这个吧，保证黑客对您的VB/VBA代码一点兴趣和胃口都没有！！ 8、解除Excel文档的内部密码。很多时候，我们需要设置Excel表格/工作簿的保护密码，可是随着时间的推移，这些密码很可能遗忘了，怎么办？很着急啊！！！哈哈，用这个保证在2分钟之内解决问题(换个角度：不要再自欺欺人了，Excel的内部密码形同虚设)。 9、信息加密/解密。对Excel文档中的一些敏感信息进行加密处理，即使文档被破解了，里面的信息仍然很安全。可以说这个功能是对Excel安全的一个有力补充。 10、工程代码锁定解锁器。可以撤销Excel的VBA保护密码(对word、Access同样有效) 11、控制和保存功能。这个功能能满足我们不用记一个密码就能非常有效地保护我们的Excel文档，而且可以免除来自微软的威胁。 12、Cookie管理器。在信息时代，没有网络怎么可以？上网时间长了，就会发现在临时文件夹中挤满了cookies，不但占据磁盘空间，而且还可能泄露秘密。用“清理cookie”命令吧，又觉得有些没有必要删，否则下次还得再输一遍；一个一个删吧，东西太多，想都不能想。怎么办？？用这个啊！！只要一次性设置要保留的cookie并选中“退出Excel时自动清理”即可。以后只要退出Excel，你的cookies目录中就不会再有其它乱七八糟的cookie了。 13、超级预览。可以根据当前的选择内容自动调整预览对象。如果选中的是单元格区域，就只预览你选中的区域；如果选中的是图表，则仅预览选中的图表；如果只是一个单元格，则自动显示分页符... ... 14、屏幕锁定。当我们需要临时离开电脑而又不想关闭Excel文档时(并不局限于Excel文档，也可以是其它，但前提是要运行Excel)，可以启动这个功能，这样其他人就不可能看到您不希望他们看到的东西。 15、尝试打开忘记密码的文件。暴力破解Excel的打开密码，注意：这个仅对拥有密码设计方案的人有效。 16、Excel加载项/宏管理器。对当前Excel环境下的加载宏/加载项/VBA加载项进行列表，并可以查看相关属性、修改运行状态，甚至是一键破解。 17、Excel对象管理器，可以批量转换Excel中的对象(图片、Shape、图表等)到图片文件； 18、在Excel中播放背景音乐、定时执行特定的程序、整点报时，一定很惬意... 19、屏幕录像及捕捉。哦，这个功能很强大啊。可以截取屏幕图像、录制屏幕变化、图片格式转换、批量bmp转成AVI文件、AVI文件转成动画GIF文件、图片标注... ...强大的不行啦，赶快去看看吧。快捷键：Ctrl+Alt+SpaceBar 或者 Ctrl+左WinKey(微软左徽标键) 20、DLL神探，DLL的最大威胁就是注入到系统进程中，让人防不胜防... 21、一键恢复Excel的系统菜单。这个功能... ... 22、Excel版简易游戏。只是几个可以在Excel中玩的游戏... 23、计划横道图（甘特图）。偶觉得还是用Excel来做横道图最方便了... ... 24、偶将呆板的网络调查和网络投票移植到OBS.DLL中了，变被动为主动！。。。。。

进程/线程/DLL

15,471

社区成员

49,182

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章