Injizierter Code kann dargestellt werden durch, aber nicht beschränkt auf:

Remote erstellter Thread kann durch verschiedene Techniken erkannt werden:

1. Regelmäßige Überprüfung Wenn Prozess-Threads vom aktuellen Prozess mithilfe von NtQueryProcessInformation erstellt wurden.

2. Überprüfen Sie für jeden Thread, ob er aus dem Adressraum der ursprünglichen ausführbaren Datei und nicht aus einem verwaisten Speicher ausgeführt wird Seite:

   3. NtQueryInformationThread
   4. Setzen Sie den zweiten Parameter auf ThreadQuerySetWin32StartAddress
   5. GetModuleInformation - Überprüfen Sie, ob die Thread-Startadresse im Bereich jedes der geladenen Module liegt und diese Module legitim sind (nach bekannter Liste / nach Pfad).
   6. Überprüfen Sie auch hier.
   ol>

3. Überwachen Sie die Thread-Erstellungs-API innerhalb des aktuellen Prozesses und prüfen Sie auch, ob die Erstellungs-PID zur aktuellen gehört process - NtQueryProcessInformation , CreateToolhelp32Snapshot .

4. Monito r Speicherschutz-APIs ( VirtualProtect ), um zu erkennen, ob jemand versucht, Ihren Code zu ändern, und dann zu überprüfen, ob diese "Person" zum legitimen Prozessadressraum gehört.
5. Führen Sie die Liste von Mit legitim geladenen Modulen kann auch überprüft werden, ob jeder in Bearbeitung befindliche Thread zum Adressraum eines legitimen Moduls aus der Liste gehört.
6. Überwachen Sie LoadLibrary auf die Möglichkeit, dass jemand versucht, ein unbekanntes Modul zu laden
ol>

Injizierter Code ohne Thread

10. Überprüfen Sie die Integrität Ihres Prozesses - Suchen Sie nach Hot Patches für verschiedene APIs, abhängig vom Prozess. Injizierter Code kann durch einen Patch im aktuellen Prozess ausgelöst werden.

11. Überwachen Sie die APC-Erstellungs-API ( KiUserApcDispatcher ), wenn das Ziel Code gehört zum aktuellen Prozess. Der APC des Betriebssystems könnte auch herausgefiltert werden.

ol>

Es gibt andere Möglichkeiten, Code einzufügen, noch bevor der legitime Prozess ausgeführt wird und seine Schutzfunktionen platziert - mithilfe der Kombination von WriteProcessMemory / GetThreadContext / SetThreadContext , die theoretisch alle implementierten Schutzmaßnahmen umgehen könnten. Wenn Ihr Code und der injizierte Code nur im selben Ring ausgeführt werden (Benutzermodus), hängt alles davon ab, wer zuerst die Kontrolle erlangt. Suchen Sie nach der Code Cave-Methode und denken Sie beispielsweise daran, wenn Malcode in explorer.exe eingefügt wird und Sie Ihr Programm starten :-).

Natürlich können Sie Ihren Treiber in laden Kernel, der Ihnen eine solide Kontrolle über die Code-Injection in Ihren Prozess und einen guten Schutz bietet. Die Ursache hängt jedoch von den Fähigkeiten und dem ab, was Sie schützen möchten.

Ein Prozess, mit dem ein Prozess das Vorhandensein injizierter Threads erkennen kann, ist die Verwendung des lokalen Thread-Speichers. Wenn ein Thread injiziert wird, werden die Thread Local Storage-Rückrufe des Hosts aufgerufen, es sei denn, der Injektor achtet darauf, dies zu deaktivieren. Wenn die Rückrufe aufgerufen werden, kann der Host die Startadresse des neuen Threads abfragen und feststellen, ob sie innerhalb des vom Host definierten Codebereichs liegt (den nur der Host kennen würde). Siehe Abschnitt Lokaler Thread-Speicher in meinem "Ultimate" Anti- Ein Beispiel hierfür ist das Papier mit den Debugging-Tricks ( http://pferrie.host22.com/papers/antidebug.pdf).

Dies erkennt zwar nicht alles (einige verwenden Malware Hohlräume innerhalb des vorhandenen Codeabschnitts des Hosts, um die Injektion durchzuführen, werden sicherlich einige Dinge erfassen.

Die kurze Antwort auf Ihre Frage lautet jedoch tatsächlich "Nein". Es gibt keine Möglichkeit für einen Prozess, in allen Fällen zu "wissen", dass etwas injiziert wurde. In den meisten Fällen ist es "Ja", aber nicht in allen.