所谓注入,就是程序把自己的代码放到别的进程的地址空间去执行,来对这个进程进行操作,获得、修改进程的数据等。把自己的代码放入别的进程的地址空间,可以让别的进程加载自己的DLL,也可以直接在别的进程地址空间创建远程线程。
进程注入的方法主要有:(1)修改HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs,全局注入DLL到所有使用User32.dll的进程;(2)消息钩子;(3)CreateRemoteThread;(4)Fake DLL。
防(1),用RD;防(2)和(3),在AD里对应的是钩子和访问内存;防(4)一定程度上可以用FD。白+黑也是(4),但是没啥好办法防(无限弹窗流就不要说了)。