15,471
社区成员
发帖
与我相关
我的任务
分享检测某进程中是否被注入非法DLL
比如进程A,遍历进程模块,如何知道是否被注入了非法模块呢?
麻烦的在于
第一:要过滤掉系统的,不同系统 可能加载的模块不同 特征也不同
第二:考虑到有一些是第三方的正常模块(比如输入法)
需求是检测到指定模块为非法,同时过滤掉正常的三方模块
本来考虑过
1. 校验模块MD5,但是目标模块可以通过每次加载前改变模块特征 所以pass
2. 检测模块窗口特征,但是目标模块可以改变这块数据 或者 hookAPI pass
现在没什么好的思路,大神们集思广益吧,谢谢!!
麻烦的在于
第一:要过滤掉系统的,不同系统 可能加载的模块不同 特征也不同
第二:考虑到有一些是第三方的正常模块(比如输入法)
需求是检测到指定模块为非法,同时过滤掉正常的三方模块
本来考虑过
1. 校验模块MD5,但是目标模块可以通过每次加载前改变模块特征 所以pass
2. 检测模块窗口特征,但是目标模块可以改变这块数据 或者 hookAPI pass
现在没什么好的思路,大神们集思广益吧,谢谢!!
...全文
请发表友善的回复…
发表回复
void_main_void 2016-11-12
- 打赏
- 举报
黑白名单,将你所有任务安全合法的DLL名称全部记录下来,并且记录合法DLL的MD5 或者对记录DLL签名校验。
赵4老师 2016-11-08
- 打赏
- 举报
奉劝楼主不要把有限的生命浪费在无限的加密解密死循环中!
BeanJoy 2016-11-07
- 打赏
- 举报
这个太广泛了吧,怎么定义注入非法DLL,网络上那么多DLL,你怎么定义就是非法的?
encoderlee 2016-11-07
- 打赏
- 举报
没有什么好办法,就像木马病毒一样,总是有免杀木马出现,世界上最先进的杀毒软件也有它不认识的木马病毒。
可以考虑从注入手段上入手,常见的注入手段就那些一些,想办法进行封堵、过滤
oyljerry 2016-11-07
- 打赏
- 举报
主要就是建立一些pattern了,比如黑名单等。
