如何检测线程注入这类型的木马? - V2EX

Home Sign Up Sign In

This topic created in 3827 days ago, the information mentioned may be changed or developed.

想问安全工程師或黑括們
在以中毒的情況下, 不靠殺軟.
手动检测线程注入这类型的木马呢?
木马没 DLL 文件,而直接注入当前的合法进程

如果不透过启动项目来检测,有办法察觉到自己中马吗?
如何快速定位被哪个程序注入的呢

似乎用 PowerTool ,PCHunter 这类软件也很难察觉到底是哪个 EXE 被注入了.

4 replies • 2015-12-28 21:48:47 +08:00

1

h4x3rotab

Dec 28, 2015 via iPhone

没有高权限，又不考虑一些技巧的情况，你唯一能做的就是不断检查自己内存里的代码有没有被修改了吧

2

domino

OP

Dec 28, 2015

注入代码，修改 EIP 执行自己的代码.达到偷梁换柱
这有什方法可以检测呢? 例如安全工具

3

Aquamarine

Dec 28, 2015

比较好的想法是软件本身文件都有数字签名，那么只需检查数字签名非软件厂商和微软的就可以了。不过这个办法也是对付有模块的。

4

wbsdty331

Dec 28, 2015

也就只有 ark 工具了吧

About · Help · Advertise · Blog · API · FAQ · Solana · 2474 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 858ms · UTC 02:00 · PVG 10:00 · LAX 19:00 · JFK 22:00
♥ Do have faith in what you're doing.