只要搞清楚什么是“注入”,和注入其它进程的方式,就知道怎么防御了。所谓注入,就是程序把自己的代码放到别的进程的地址空间去执行,来对这个进程进行操作,获得、修改进程的数据等。把自己的代码放入别的进程的地址空间,可以让别的进程加载自己的DLL,也可以直接在别的进程地址空间创建远程线程。进程注入的方法主要有:(1)修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,全局注入DLL到所有使用User32.dll的进程;(2)消息钩子;(3)CreateRemoteThread;(4)Fake DLL。防(1),用RD;防(2)和(3),在AD里对应的是访问内存和钩子;防(4)一定程度上可以用FD。白+黑也是(4),但是没啥好办法防(无限弹窗流就不要说了)。
这是我的想法,我也才接触不久防止某进程被注入(武装该进程)也可以等于:阻止所有程序注入(去掉后来程序的武装)应用程序配置为: * ----(所有程序)自定义规则:全部允许 -----(程序可以做任何事)受保护的文件/目录 那一项的排除中 -----(程序唯独不能做这件事)阻止的文件/文件夹 选你要保护的那个进程想法而已,规则是不是这么写的 就不知道了我现在还开的学习模式,打算一直学习一周再开始使用
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024