驱动层注入dll demo,源码未传
行为监控最好的方式是远程注入dll,应用层设置的全局钩子,对非消息模式的进程无效;或者其他方法,有权限不同、session不同、注入滞后等弱点。本demo是在驱动层,进程创建完毕还未执行主线程时,即注入dll,对系统进程、普通进程等注入都有效,不会遗漏行为监控,支持从xp到win10各个版本的32位和64位系统。
0
161
22.69MB
2021-10-27
5