李青青做网站 公司主要做应用领域,网络营销管理培训,wordpress调出媒体库,经典重庆网首页第十二章 注入技术 12.1 DLL注入方法
在通常情况下#xff0c;程序加载 DLL的时机主要有以下3个#xff1a;一是在进程创建阶段加载输入表中的DLL#xff0c;即俗称的“静态输人”;二是通过调用 LoadLibrary(Ex)主动加载#xff0c;称为“动态加载”#xff1b;三是由于系…第十二章 注入技术 12.1 DLL注入方法
在通常情况下程序加载 DLL的时机主要有以下3个一是在进程创建阶段加载输入表中的DLL即俗称的“静态输人”;二是通过调用 LoadLibrary(Ex)主动加载称为“动态加载”三是由于系统机制的要求必须加载系统预设的一些基础服务模块例如Shell扩展模块、网络服务接口模块或输人法模块等。因此在进行 DLL注人时也不外乎通过这3种手段进行。
静态修改PE输入表法、进程创建期修改PE输入表法以挂起方式创建目标进程、获取目标进程中的PE结构信息、获取原IID大小增加一项搜索可用的节空隙、构造新的IID及与其相关的OriginalFirstThunk,Name,FirstThunk结构、修正PE映像头、更新目标进程的内存、继续运行主进程、输入表项DLL替换法DLL劫持 CreateRemoteThread法、RtlCreateUserThread法、APC注入、SetThreadContext法、WriteProcessMemory
SetWindowHookEx消息钩子…… 12.2 DLL注入的应用
驱动层防范1.KeUserModeCallback防全局消息钩子注入、
NtMapViewOfSection/LoadImageNotify 对模块进行验证、拦截进程打开、读、写以及创建远线程、发送 APC 等操作、Call Stack 检测非法模块
应用层防范通过 Hook LoadLibraryEx函数防范全局钩子、输入法注入、在DllMain中防御远程线程、枚举并查找当前进程中的非法模块和可疑内存、Hook ntdll中的底层函数进行 Call Stack 检测
这一章内容博大精深要学不完力
