一种基于Windows平台的DLL注入方法及系统技术方案

本发明专利技术公开一种基于Windows平台的DLL注入方法及系统，该方法包括以下步骤：)进程启动，判断当前进程是否需要注入安全检测DLL，如果需要，则获取需要注入安全检测DLL的模块名；判断模块名是否为“ntdll.dll”,如果是，将当前进程的注入信息插入工作队列；安全检测DLL对当前进程进行安全检测；如果经检测不安全，则结束，如果安全，则允许启动当前进程。通过本发明专利技术的方案，可以注入更多的进程，对杀毒软件不误杀，更稳定，更高效。

A method and system for DLL injection based on Windows platform

The invention discloses an injection method and system of Windows platform based on DLL, the method comprises the following steps: a) the process started, determine whether the current process needs to inject DLL safety testing, if necessary, obtaining the module name need to inject DLL safety testing; judging whether the module name is \ntdll.dll\, if it is, will the current process the injection of information into the work queue; security detection DLL safety detection on the current process; if testing is not safe, then the end, if the security is allowed to start the process. Through the method of the invention can inject more process, not manslaughter, anti-virus software is more stable and more efficient.

【技术实现步骤摘要】
一种基于Windows平台的DLL注入方法及系统
本专利技术涉及数据安全领域，具体涉及一种基于Windows平台的安全检测DLL注入方法及系统。
技术介绍
现阶WINDOWS安全检测DLL注入方式主要分三大类：Windows消息钩子、APIHOOK和COMHOOK。1)Windows消息钩子(操作系统本身提供)Windows消息钩子分为全局消息钩子和局部消息钩子(即线程消息钩子)，如：控制键盘的消息钩子。2)APIHOOK技术是一种用于改变API执行结果的技术，Microsoft自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。APIHOOK技术并不是计算机病毒专有技术，但是计算机病毒经常使用这个技术来达到隐藏自己的目的。按照拦截方式不同又可分为以下几类：InLineHOOKIATHOOKEATHOOK3)针对COM接口虚函数表的HOOK技术，只适用COM接口。现有技术中常用的几种HOOK技术与本专利技术技术方案最为接近。现阶段APIHOOK(InlineHOOK最常见)流程如图1所示。原函数内联后，跳转到处理函数，在处理函数处理完之后，再跳转回原函数跳转本文档来自技高网...

【技术保护点】
一种基于Windows平台的DLL注入方法，该方法包括以下步骤：(1)进程启动，判断当前进程是否需要注入安全检测DLL，如果需要，则转入步骤(2)，否则转入步骤(8)；(2)获取需要注入安全检测DLL的模块名；(3)判断模块名是否为“ntdll.dll”,如果否，则转入步骤(8)；(4)如果是，将当前进程的注入信息插入工作队列；(5)安全检测DLL对当前进程进行安全检测；(6)如果经检测不安全，转入步骤(8)；(7)如果安全，则允许启动当前进程；(8)结束。

【技术特征摘要】
1.一种基于Windows平台的DLL注入方法，该方法包括以下步骤：(1)进程启动，判断当前进程是否需要注入安全检测DLL，如果需要，则转入步骤(2)，否则转入步骤(8)；(2)获取需要注入安全检测DLL的模块名；(3)判断模块名是否为“ntdll.dll”,如果否，则转入步骤(8)；(4)如果是，将当前进程的注入信息插入工作队列；(5)安全检测DLL对当前进程进行安全检测；(6)如果经检测不安全，转入步骤(8)；(7)如果安全，则允许启动当前进程；(8)结束。2.根据权利要求1所述的方法，所述工作队列的工作流程如下：(4.1)获取进程空间中关键函数地址；(4.2)根据关键函数地址，生成注入用的加壳代码ShellCode；(4.3)修改关键函数中相关函数的前五个字节为跳转到加壳代码ShellCode指令。3.根据权利要求2所述的方法，所述关键函数包括Windows系统函数：ZwProtectVirtualMemory、LdrLoadDll、ZwTestAlert。4.根据权利要求2或3所述的方法，修改关键函数ZwTestAlert的前五个字节为跳转到加壳代码ShellCode的指令。5.根据权利要求4所述的方法，所述加壳代码ShellCode实现如下功能：(a)利用Windows系统函数NtProtectVirtualMemory保护Windows系统函数ZwTestAlert所在内存；(b)还原Windows系统函数ZwTestAlert前五个字节；(c)调用Windows系统函数LdrLoadDll加载要注入的安全检测DLL。6.一种基于Windows平台的DLL...

【专利技术属性】
技术研发人员：曲恩纯，喻波，王志海，彭洪涛，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：北京,11