[2022]防止第三方DLL注入到程序中 huoji EDR 2022-11-04 808 次浏览 0 次点赞 很多恶意软件、木马、病毒、游戏外挂会进行注入然后干坏事,比如进行API hook监听行为等. 本方法适用于win8以上使用系统机制阻止第三方的dll注入 <!--more--> ### SetProcessMitigationPolicy 使用微软的ACG mitigation机制,我们可以阻止第三方的dll注入,这个机制是IE、edge在用的机制.目的是进行漏洞缓解. 通过SetProcessMitigationPolicy这个API就可以设置阻止DLL注入: ```cpp PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY sp = {}; sp.MicrosoftSignedOnly = 1; SetProcessMitigationPolicy(ProcessSignaturePolicy, &sp, sizeof(sp)); ```  注入DLL会被拒绝:  有个家庭作业: 有些注入时机太早的,比如进程启动之前就开始注入的,会导致在还没生效前DLL就已经进来了.如何修复看你自己 ### 检测 对于安全软件来说,只需要查询进程的EPROCESS标识符即可识别.(使用zwqueryprocessinfo) 这是powershell脚本: ```cpp get-process | select -exp processname -Unique | % { Get-ProcessMitigation -ErrorAction SilentlyContinue -RunningProcesses $_ | select processname, Id, @{l="Block non-MS Binaries"; e={$_.BinarySignature|select -exp MicrosoftSignedOnly} } } ```  本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
只恨没早点看到这文章
注入时机早,然后chrome、IE开启ACG。卸载钩子直接开炸
不会,他们不是通过这样开启ACG机制的