防止Dll注入

http://www.cnblogs.com/yifi/p/6480704.html

 

利用LoadImageNotify回调拦截DLL加载,1.这个时候写内存有可能导致死锁;2.DLL被拦截一次之后,重启前再也无法加载

最简单的方法,拦截IRP_MJ_CREATE,发现带FILE_EXECUTE属性的时候就拒绝。但根据某个很喜欢锁主页的大牛说,这个方法误伤很大

 

http://www.bitnuts.de/KernelBasedMonitoring.pdf

通过拦截IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION实现禁止IMAGE加载  对应函数 NtCreateSection 

国外烂大街的方法 学习

posted on 2017-02-28 20:49  yifi  阅读(1696)  评论(0编辑  收藏  举报

导航