防止Dll注入
http://www.cnblogs.com/yifi/p/6480704.html
利用LoadImageNotify回调拦截DLL加载,1.这个时候写内存有可能导致死锁;2.DLL被拦截一次之后,重启前再也无法加载
最简单的方法,拦截IRP_MJ_CREATE,发现带FILE_EXECUTE属性的时候就拒绝。但根据某个很喜欢锁主页的大牛说,这个方法误伤很大
http://www.bitnuts.de/KernelBasedMonitoring.pdf
通过拦截IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION实现禁止IMAGE加载 对应函数 NtCreateSection
国外烂大街的方法 学习
爱程序 不爱bug
爱生活 不爱黑眼圈
我和你们一样 我和你们不一样
我不是凡客 我要做geek