oxygen1a1 发表于 2022-7-7 16:30

[驱动/C++]检测Dll注入(检测远程线程创建)

很简单,用户程序加驱动两百来行。原理就是先创建线程对象的通知(PsSetCreateThreadNotifyRoutine),然后在回调函数里面用LIST_ENTRY维护。至于怎么判断,直接把回调参数那个ProcessId和GetCurrentProcessId进行比较。(创建远程进程的话,创建Id和归属Id就会不一样).
最后,说明以下,因为我没加特判。要明白,任何用户进程的第一个线程都是Pid=4的system这个系统进程创建的,所以也是一个远程线程。可以完善以下。
菜鸟作品,最近在看Windows内核编程,也是参考了这本书上的部分内容和练习。dalao 非新手就飞过把

顺便附带个自己写的Dll注入器(也是菜鸟作品 烂大街)
源码如下:
**** Hidden Message *****

涛涛 发表于 2022-7-7 17:11

来看看!!

1587665267 发表于 2022-7-7 17:56

感谢分享

pjm123456 发表于 2022-7-7 19:05

谢谢分享

hopes 发表于 2022-7-7 21:30

来看看!

fyh505099 发表于 2022-7-7 22:07

感谢大佬分享 学习一下

snak2020 发表于 2022-7-8 10:37

感谢分享

麻麻黑丶 发表于 2022-7-8 14:57

感谢分享

禽大师 发表于 2022-7-9 20:46


感谢分享

琴有十三 发表于 2022-7-10 00:36

学习一下这个哈哈
页: [1] 2 3 4 5 6 7 8
查看完整版本: [驱动/C++]检测Dll注入(检测远程线程创建)