MFC/VC++进程自我保护(通过远程线程注入或HOOK)
你担心自己的进程被注入线程,那么由两种方法可以用来防范:1 监测。简单说,就是用另外一个程序来监测你的进程,采用快照的办法枚举它的所有模块,一旦发现有了不应当有的模块,立刻终止这个非法模块。2 自我保护。
通过远程线程注入,来使得木马运行在目标进程中,随意访问目标进程的内存空间,最后这个动态链接库里的代码就成为其他进程的一部分来实现了自身的隐藏执行,通过调用hook机制,监视用户的输入输出操作,截取有用的资料等操作。
这种方法就是远程注入了。一般用于木马程序隐藏自身EXE文件,或是要跟踪某程序的运行情况才会用到。
遍历进程,远程线程注入模块,模块负责HOOK。全局钩子(SetWindowsHookEx)注入,再HOOK,但不能注入没有窗口的进程。记得WinLogon相关的注册表好像可以自动注入,不知道和谐了没。
还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。
禁止attch游戏进程,禁止打开游戏进程或许游戏进程句柄,禁止远程线程注入到游戏进程等。。
钩子注入的原理机制
1、钩子注入,即远程线程插入(注入)技术,指的是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间。
2、HOOK技术是Windows消息处理机制的一个平台,应用程序可以在上面设置子程序以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。
3、钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。
4、这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。亦即所谓的“钩子注入”。QQ电脑管家也正是运用了这一原理来保护您的帐号。
5、钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。
6、钩子注入、线程注入。这个是木马的普遍特征。
如何把DLL添加到某个程序里面
在exe程序内添加一个图片资源表,在把DLL文件添加进去就行了。
加载dll-添加引用;添加引用的意思是让程序生成时根据配置的路径去加载相应的dll。引用的步骤:1)、点击引用。2)、添加引用浏览。3)、选择dll所在的路径确定。
不同的编译器方法不一样,在windows下一般除了dll还有一个lib文件。
方法1:C#可以调用封装好的基于纯C的dll,但如果是C++的类,没有很简便的方法直接调用。使用方法:直接添加引用是不行的,使用DLLIMPORT。
关于C语言中回调函数的实例
1、其他人需要修改的话只要修改callback函数里的内容就行了,一般sdk封装后都会有回调,这样他人在调用sdk的时候就可以实现回调函数里的内容。
2、你所谓的回调函数没有意义。两进程通讯,windows有很多方法,SendMessage就很简单。你的DLL在共享内存段加入句柄,主程序调用,并给句柄负值,DLL就可以直接SendMessageg给主窗口了。
3、回调函数是C++从C语言继承而来的语言特性,就是函数指针的应用。
4、C语言中调用函数的方法及步骤:工具/原料:C语言 首先需要输入想要调用的函数。然后当输入一个括号后,即可观察他的参数。接着在对应的参数中输入参数值。然后,系统会发生一个警告。
微信扫一扫 
支付宝扫一扫 
