Notebook
  • Study hard and make progress every day
  • Mouka
    • Windows Internal
      • Helper Functions(todo:)
      • Find Kernel Module Address
      • Patch Guard Oops
      • Hook SSDT(Shadow)
      • Restore SSDT(Shadow)
      • Misc
        • Volatile in C
    • AntiCheat
      • Inject Defense
      • Injection Method
    • DriverDevelopment
      • 20180625
      • 20180626-27
    • Python
      • Python Tricks
        • 内置 http 服务器
        • 函数作为变量
        • "is" vs "=="
        • 直接变量值交换
        • 计算代码执行时间
        • 函数参数分解
        • 打印Python字典
        • 命名元组代替class
        • get()方法访问字典
        • 字典排序
        • 一次检查多个标志
        • 合并两个字典
        • re.sub使用替换函数
    • Algorithms
      • Greedy
        • 使括号平衡的最小交换次数
        • 埃及分数
      • DynamicProgramming
        • 0-1 背包问题
      • LeetCode
        • Count Primes
  • Honey
    • Python笔记
      • lxml库
      • os库
      • json文件读写
      • Scrapy
        • Scrapy安装与开始项目
        • Scrapy-Xpath
Powered by GitBook
On this page
  1. Mouka
  2. AntiCheat

Inject Defense

导入表、输入法dll注入

  • 程序启动时检查exe、dll签名及证书,

  • 用户进程内hook loadlibrary,当载入的dll不在白名单内的时候,拒绝载入

  • 驱动内监控 用户对关键系统dll以及用户软件相关exe、dll的修改,拒绝修改?(filesystem minifilter)

对于导入表注入,由于dll加载时,程序入口函数还未执行,无法hook loadlibrary,因此只能通过驱动监控dll的载入,如果载入了不在白名单里的dll,则通知用户进程。另外安全软件通常不会修改用户文件,因此程序如果收到不明dll载入,可以直接退出,对兼容性影响较小

对于输入法等在程序启动后进行注入的方法,可通过hook loadlibray来监控

PreviousAntiCheatNextInjection Method

Last updated 6 years ago