找回密码
 立即注册
查看: 666|回复: 1

[C/C++] 检测Dll注入(检测远程线程创建)

[复制链接]
发表于 2022-7-7 21:36:01 | 显示全部楼层 |阅读模式


download.jpg


很简单,用户程序加驱动两百来行。
原理就是先创建线程对象的通知(PsSetCreateThreadNotifyRoutine),然后在回调函数里面用LIST_ENTRY维护。至于怎么判断,直接把回调参数那个ProcessId和GetCurrentProcessId进行比较。(创建远程进程的话,创建Id和归属Id就会不一样).
最后,说明以下,因为没加特判。要明白,任何用户进程的第一个线程都是Pid=4的system这个系统进程创建的,所以也是一个远程线程。可以完善以下。
菜鸟作品,最近在看Windows内核编程,也是参考了这本书上的部分内容和练习。dalao 非新手就飞过把


游客,如果您要查看本帖隐藏内容请回复







上一篇:植物大战僵尸多功能修改器源码+全部基值
下一篇:域名出售单页HTML模板PHP引导页源码
回复

使用道具 举报

发表于 2022-7-8 15:06:59 | 显示全部楼层
看看怎么样啊
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|27CaT资源论坛

GMT+8, 2024-11-25 15:04

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表