电脑中病毒,远程线程注入。
愿我的答案 能够解决您的烦忧你这是杀杀毒软件啊!换腾讯电脑管家吧,把病毒给方行了居然首先论占内存,查杀防护二合一,比其他杀毒软件都要占内存小。
其次看杀毒能力,腾讯电脑管家是4+1杀毒引擎,有5个,比任何双引擎都给力的多。
再看防火墙,腾讯电脑管家独有22层防护,绝对秒杀一切防火墙。
再论误杀,多国著名著名研发工作室公认误杀率最低。
论贴心,这个我不说估计你也懂,扣扣等级加速啊、安全金币兑换手机啊什么的很给力了如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢
360提示有远程线程注入,要求禁止,但是已经用360安全卫士,扫...
Sbroker.exe用360清理插件可以强行禁止掉,并使用强行粉碎删除其文件夹C:\Program Files\Tencent\SSPlusSbroker.exe是腾讯搜搜e点通(SSplus)的进程。
属流氓进程,后台运行,占用一定内存,并伴随SOSOUpdate.exe的更新进程同步,可能存在有后门。
搜搜e点通一般由QVOD安装过程中隐匿安装,并不伴有任何提示信息,安装路径一般为C:\Program Files\Tencent\SSPlus,不带有卸载功能,平时正常运行IE时无运行窗口。
怎么防止远程线程注入
流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始:1。
我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增加它的启动。
这应该是比较老的方法,以前 3721好象就是在run下,但是现在一般的人都知道了。
2。
作为流氓软件,已经改变了以前一些木马的特性了,他没必要使自己一定要实时启动了,而是需要自己的时候再启动,譬如说打开一个浏览器窗口,这是一般流氓软件的方法,因为他需要连上网才能有利益可图,所以浏览器肯定是流氓软件必定监控的进程。
3。
使用BHO插件,这种技术早先特别流行,这是微软提供的接口,本意是让IE浏览器可以扩充功能。
每当一个ie浏览器启动的时候,都会调用BHO下必要的插件,流氓软件就是利用这一点。
监控了浏览器所有事件与信息。
4。
还有最笨的办法就是利用进程快照监控进程,判断有它自己所监控的进程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
5,还有一种方法就是使用spi,这是我在网上看到的。
spi是分层协议,当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。
从而监控用户信息,而且能实时启动。
6。
hook方法,hook技术可以所应用太广泛了,特别是监控方面。
所以流氓软件也不会错过。
首先应用的是api函数hook,譬如windows核心编程里的apihook类,或者微软的detous都可以完成,两者方法其实相同就是修改IDT函数入口地址。
api hook钩住createprocess 就可以监控进程,比进程快照性能更强,可以钩住spi下的函数可以完成spi下的所有功能。
还有消息hook,鼠标消息,键盘消息,日子消息等等钩子,方法实在太多,都可以利用。
上面列举了一些流氓软件的使用方法,但是流氓软件的一个特性是他无法卸载。
所以它又要使用下面的方法了因为上面的很多方法都可以删除注册表卸载他们,那怎么办呢,那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个循环监控,发现没了就继续安装,增加。
我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题,那就是流氓软件的进程线程要是结束掉怎么办呢???看西面7。
一种方法就是上面的api hook技术,钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确,使用这种方法,用户或者一般的软件就无法结束它的进程了。
8。
还有一种是上面象bho,spi根本没有进程。
一般的用户也无法删除他9。
还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。
一般很多流氓软件或者以前的一些木马程序,都是把线程注入到系统进程譬如explorer,service等等,使用用户或者一般的杀毒软件很难处理或者结束。
。
10。
注册成服务后,也可以简单的隐藏进程。
还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
从我上面列举的方法已经差不多可以形成好几款流氓软件了。
但是你别高兴太早,因为这些技术只是应用层的,现在出现了一堆驱动层的反流氓软件工具,譬如超级兔子,完美卸载,木马克星,雅虎助手,还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。
优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。
轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1。
首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2。
内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。
驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表4。
利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。
因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。
删除注册表函数会被替换。
虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。
这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。
现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。
具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。
如果前面的组,那360就束手无策了。
所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又...
内存dll的远程线程注入,如何使用
dll文件等丢失、损坏,一些包括游戏在内的应用程序无法启动。
解决方法有:1、用Windows系统盘功能进行文件修复;2、若在此之前有一键备份过,可以重新还原;3、从网上下载系统文件然后覆盖到原文件夹里;4、由于从网上下载系统文件,可能会因为系统文件版本与操作系统不相符造成系统文件不兼容的情况,修复系统文件最好使用专业的工具进行一键修复。
5、可以用腾讯电脑管家修复下。
打开电脑管家——电脑诊所——软件问题——缺少dll文件。
...
远程创建线程注入DLL后如何获得主线程ID
线程注入的概念你理解的话,这个问题其实不难解释。
说的最通俗些就是你的记牌器必须知道别人出什么牌。
而识别这一点通过图像识别的话很恶心,实现困难且错误率高,最直接的办法就是知道QQ游戏终端获取你自己和别人的出牌信息。
而直接截取通信包需要做解密,巨麻烦的一件事而且这种小程序完全没必要。
但你的QQ游戏终端的线程中肯定有已经解密的数据,说白了就是解密后的数据一定保存在游戏终端线程所属的内存空间的某个位置,所以做个注入识别一下就可以了。
远程创建线程注入DLL后如何获得主线程ID
展开全部 线程注入的概念你理解的话,这个问题其实不难解释。
说的最通俗些就是你的记牌器必须知道别人出什么牌。
而识别这一点通过图像识别的话很恶心,实现困难且错误率高,最直接的办法就是知道QQ游戏终端获取你自己和别人的出牌信息。
而直接截取通信包需要做解密,巨麻烦的一件事而且这种小程序完全没必要。
但你的QQ游戏终端的线程中肯定有已经解密的数据,说白了就是解密后的数据一定保存在游戏终端线程所属的内存空间的某个位置,所以做个注入识别一下就可以了。
...
C++注入通过远程线程进程之后,目标进程直接停止运行。
注入过...
展开全部 进程:C:\Windows\System32\wbem\WmiPrvSE.exe动作:远程线程注入,我都300多次了很多用360的人都这样,有个人的截图达到了千次我查了一下1月15日就有人这样说我用360+金山+windows清理助手都没问题,全面诊断也没问题估计没事,这莫多人这样呢,怕什么.其他的远程可能是你下载的一些软件,如果这些软件都安全,就不要管它了建议用windows清理助手杀木马比360强多了 360工作人员的回答程序是安全的 就会自动允许。
对于安全的程序不拦截 自动放行。
如果您要问那为什么还保留记录,是因为我们的确记录到您某个正常的程序进行了这个操作 如果对您有帮助,请记得采纳为满意答案,谢谢!祝您生活愉快!...
用CreateRemoteThread创建远程线程进行注入时,会出现拒绝访问错...
流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始:1。
我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增加它的启动。
这应该是比较老的方法,以前 3721好象就是在run下,但是现在一般的人都知道了。
2。
作为流氓软件,已经改变了以前一些木马的特性了,他没必要使自己一定要实时启动了,而是需要自己的时候再启动,譬如说打开一个浏览器窗口,这是一般流氓软件的方法,因为他需要连上网才能有利益可图,所以浏览器肯定是流氓软件必定监控的进程。
3。
使用BHO插件,这种技术早先特别流行,这是微软提供的接口,本意是让IE浏览器可以扩充功能。
每当一个ie浏览器启动的时候,都会调用BHO下必要的插件,流氓软件就是利用这一点。
监控了浏览器所有事件与信息。
4。
还有最笨的办法就是利用进程快照监控进程,判断有它自己所监控的进程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
5,还有一种方法就是使用spi,这是我在网上看到的。
spi是分层协议,当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。
从而监控用户信息,而且能实时启动。
6。
hook方法,hook技术可以所应用太广泛了,特别是监控方面。
所以流氓软件也不会错过。
首先应用的是api函数hook,譬如windows核心编程里的apihook类,或者微软的detous都可以完成,两者方法其实相同就是修改IDT函数入口地址。
api hook钩住createprocess 就可以监控进程,比进程快照性能更强,可以钩住spi下的函数可以完成spi下的所有功能。
还有消息hook,鼠标消息,键盘消息,日子消息等等钩子,方法实在太多,都可以利用。
上面列举了一些流氓软件的使用方法,但是流氓软件的一个特性是他无法卸载。
所以它又要使用下面的方法了 因为上面的很多方法都可以删除注册表卸载他们,那怎么办呢,那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个循环监控,发现没了就继续安装,增加。
我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题,那就是流氓软件的进程线程要是结束掉怎么办呢???看西面7。
一种方法就是上面的api hook技术,钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确,使用这种方法,用户或者一般的软件就无法结束它的进程了。
8。
还有一种是上面象bho,spi根本没有进程。
一般的用户也无法删除他9。
还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。
一般很多流氓软件或者以前的一些木马程序,都是把线程注入到系统进程譬如explorer,service等等,使用用户或者一般的杀毒软件很难处理或者结束。
。
10。
注册成服务后,也可以简单的隐藏进程。
还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
从我上面列举的方法已经差不多可以形成好几款流氓软件了。
但是你别高兴太早,因为这些技术只是应用层的,现在出现了一堆驱动层的反流氓软件工具,譬如超级兔子,完美卸载,木马克星,雅虎助手,还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。
优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。
轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1。
首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2。
内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。
驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表4。
利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。
因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。
删除注册表函数会被替换。
虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。
这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。
现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。
具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。
如果前面的组,那360就束手无策了。
所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又...
转载请注明出处51数据库 » word远程线程注入