ATool自身防远程注入

ATool 自身防止远程线程注入DLL, 消息钩子注入DLL 和 注册表init注入DLL, 该功能尚处测试阶段 欢迎大家测试.

目前测试在windows xp sp2  windows 2003 windows 2003 sp2  windows vista x32 vista x64 下测试
xp sp2下可以拦截磁碟机DLL模块dnsq.dll的注入,其采用的是注册表init的方式.
同时也可以拦截采用全局钩子的注入,windows 2003 windows 2003 sp2  windows vista x32 vista x64 能拦截wsyscheck的禁止进程文件创建的Norun.dll入侵
Atool10017unhook512.rar (1.28 MB, 下载次数: 36)

2008-5-12 10:57 上传

点击文件名下载附件

[ 本帖最后由 CuteK 于 2008-5-12 10:59 编辑 ]

发现一个问题,目前这个自身防远程注入只是防远程线程注入DLL, 消息钩子注入DLL .对于采用AppInit_Dlls方式的还不能防,这个是在程序启动的时候加载进来的.atool1.0019已经加入对该方式的防御.启动时清理掉这种方式入侵的dll.但依旧在实验阶段.卸载之前必须清理干净hook,否则会导致程序启动失败.

继续努力 啊