1.注入dll或者用shellcode,在其他进程内用汇编代码。对其写数据
应对方法:对被写数据下硬件写入断点或者内存写入断点(优先硬件断点,内存写入断点以0x1000的页为单位下断点,不精准)
2.用WriteProcessMemory写数据
应对方法:提前对可疑进程下断此API,或用监控工具分析
3.用共享内存(CreateFileMapping、MapViewOfFile)。对自身进程的共享内存写数据
应对方法:
1.用2的应对方法判断是不是用了共享内存
2.下断2个进程的MapViewOfFile,其返回值为共享内存首地址。
对2个进程的共享内存下内存写入断点(不推荐硬件断点),哪个进程断下了,说明哪个进程在对其写数据。需要注意的一点是,另一个进程的共享内存虽然会同步更改数据,但其下断的内存断点(包括硬件断点)不会触发
共享内存的原理可看此文:https://bbs.pediy.com/thread-255122.htm
先写到这里,等以后学习了新的再添加