【原创】[防注入]通过HOOK LoadLibraryA 来过滤非授权加载dll

LiLi. · 发表于 2024-3-14 20:52:45

每日配装精易模块 [v11.1.0]

起因：
最近在和朋友做DLL注入对抗，原因是上期的【C/C++练习】【二创】 inlinehook和HOOk WriteProcessMemory 我在刚完工这个项目后，就给他说，于是他写了个防注入目前共3个方法去进行个预防注入。我对于远程线程注入写了个简易的预防方法--通过判断线程数判断注入。在写的过程中，突发奇想，于是就有了今天这个帖

思路：
要想实现这个，需要用到APIHOOK，然后进行HOOK，HOOK的对象是LoadLibraryA，因为针对于远程线程注入的处理。HOOK回调需要执行自己的代码，再处理原函数该实现的代码。我们需要一个文本，它用来存储我们要授权的dll路径。然后在回调里，我们拿Load的dll路径与我们的授权路径一个一个比对，然后每次都对一个整数变量累计加1，这个整数变量我叫它不可信次数，它主要是在挨个枚举对比后，与授权路径的数量对比，因为如果是非法加载，那它肯定是一个都不对的，所以直接就是如果真（不可信次数≠授权路径数量），然后这个判断进入后就可以处理自己的惩罚函数了。

注意，此方法仅限于通过LoadLibraryA的注入方法有效

好了上代码