dll injection의 정황:
스레드 생성을 한 프로세스ID != 스레드가 생성이 된 프로세스ID
thread의 StartAddress 가 LoadLibraryA/LoadLibraryW
참고 링크:
Dissecting the Windows Defender Driver - WdFilter (Part 3) :: Up is Down and Black is White — n4r1b
Welcome back to Dissecting the Windows Defender Driver, in the previous part we saw how WdFilter handles the loading of images in memory through an ImageLoad callback routine, we also saw how new threads are checked in two different Thread-creation callbac
www.n4r1b.com
https://jumpzero.tistory.com/11
AntiInjection - dll injection을 user mode에서 막아보자.
다른 프로세스에 침투해 뭔가를 하려 할 때 흔히 쓰이는 것이 dll injection이죠. (게임)핵에 많이 쓰입니다. 또는 원하는 작업을 기존 다른 프로세스에 숨어서 하려 할때도 쓰이죠. 지금은 어떤지 ��
jumpzero.tistory.com
https://blog.naver.com/gloryo/220576807227
Mitigation #1. Windows 10에서 가능한 DLL Injection 완벽 방어
안녕하세요. 꿀보입니다. 제목이 자극적이죠? ㅎㅎ 오늘 소개드릴 내용은 Windows 10 부터 새롭게 가능한 ...
blog.naver.com
'Windows > Kernel' 카테고리의 다른 글
| 프로세스 고유ID(ProcGuid)/부록: Kernel 모드에서 md5 해시 구하기. (0) | 2020.08.22 |
|---|---|
| Kernel Callback Functions (0) | 2020.08.01 |
| 드라이버 로드 후 파일 삭제하기. (0) | 2020.07.29 |
| kernel 모드에서 PE 파일의 코드사인 여부 확인 (0) | 2020.07.28 |
| FilterReplyMessage 에러 코드 E_INVALIDARG (0) | 2020.06.30 |
