3
3cs
Unregistered / Unconfirmed
GUEST, unregistred user!
自身的程序能不能检测出自己有没有被木马或别的程序注入,如何检测,请这方面的高手指点一二,谢谢了!
Z
zhengrong117
Unregistered / Unconfirmed
GUEST, unregistred user!
把文件的大小、md5值等信息通过自己的算法加密后追加在exe的后面运行程序的时候先把添加前的文件信息在计算出来,跟最后的比较看是不是一样。若不一样,就被修改了
3
3cs
Unregistered / Unconfirmed
GUEST, unregistred user!
我的意思是说:我的程序正在执行的时候,这时有个木马或别的什么程序采用远程注入的方式进入了我的程序中,因为此时都是在内存中运行的,文件的大小应没有发生改变,且程序所在的那块内存是在不断的变动的,此时如何检测自己的程序中是不是被注入了?注:采用的可能不是DLL方式注入!
Z
zhengrong117
Unregistered / Unconfirmed
GUEST, unregistred user!
这样啊,等高手解决吧
D
dark_power
Unregistered / Unconfirmed
GUEST, unregistred user!
我靠,感觉得依靠虚拟机来解决了。
Z
zbdzjx
Unregistered / Unconfirmed
GUEST, unregistred user!
对注入的方式不了解,但我猜测,可以通过程序执行的地址或是数据的地址判断出来。
3
3cs
Unregistered / Unconfirmed
GUEST, unregistred user!
恳请高手出现,给一个正确的解决方案!
S
sadnui
Unregistered / Unconfirmed
GUEST, unregistred user!
hook LoadLibrary 过滤
3
3cs
Unregistered / Unconfirmed
GUEST, unregistred user!
to sadnui能不能具体一点,说说原理?
S
szhcracker
Unregistered / Unconfirmed
GUEST, unregistred user!
看来LZ的程序非常好,全国人民都想用,所以得重点保护起来。我给你的忠告就是:适可而止,不要折腾。
Z
zhengrong117
Unregistered / Unconfirmed
GUEST, unregistred user!
每个用户模式的进程有其私有的地址空间,这些进程在最低的权限级别下运行(称为Ring3或者用户模式),它们不允许执行CPU的特权指令,对系统所属的数据、地址空间以及硬件等的访问也是被严格限制的,例如,如果某个用户程序访问4G地址空间中的高位2G,那么系统就会立即将其终止执行。在《kmd教程》中看到这么一句,楼主看下是否能把自己的程序运行在高位2G中。让内核帮你保护,不然你自己很难检测内存是不是合法的变动。花这么大力气是否值的(是否能成功,是否会带来其他问题),楼主自己判断。继续等其他方法...
3
3cs
Unregistered / Unconfirmed
GUEST, unregistred user!
哈哈,我只是想了解一下,被这种方式注入后,有没有解决办法而已,纯数技术讨论,怎么还有人警告我呢?哈哈[
]没有答案之前,继续哦!
]没有答案之前,继续哦!
M
mosker
Unregistered / Unconfirmed
GUEST, unregistred user!
监视远线程创建。
T
tzlaoliu
Unregistered / Unconfirmed
GUEST, unregistred user!
DLL注入还好检测其他方式没想到什么好办法
P
perock
Unregistered / Unconfirmed
GUEST, unregistred user!
HOOK下面两函数,检测进程ID和进程句柄,如果进程ID是自已的那么退出程序.WriteProcessMemoryCreateRemoteThread
3
3cs
Unregistered / Unconfirmed
GUEST, unregistred user!
接受答案了.
