防止McAfee Dlls注射

Question

我有一个在WinSock模块(发送和接收函数)上执行一些内联钩子的过程。在一台带有McAfee的机器上，我可以看到有两个dll被注入到我的进程中：

• hipi.dll
• hipqa.dll

这两种方法都可能在这些函数上进行内联连接，而我也会遇到冲突和不想要的行为。是否有防止/卸载这些dll的选项，这样它们就不会发生干扰？

10倍，盖伊

Answer 1

实现DLL注入(挂钩)的场景很多，BTW，您必须更多地了解每种方法背后的内容是如何工作的，最常见的是使用CreateRemoteThread() API函数，然后必须在每个进程上注入您的安全DLL，并对CreateRemoteThread()或任何“危险”API调用进行钩子/重定向/拒绝任何调用。

PS:但是你要记住：

用户模式挂钩绝不能成为以任何安全方式应用附加安全检查的选项。如果您只想“沙箱”一个专门的进程，您非常了解，而且流程实际上不知道EasyHook，这可能会成功！但千万不要试图编写任何基于用户模式挂钩的安全软件。这没用的，我向你保证，…

Answer 2

你有两个选择。

1. 为您的进程添加一个排除项，这样McAfee就不会试图扫描它。我不使用McAfee的产品，但我假设这是一个相对简单的过程。
2. 卸载McAfee

Answer 3

最简单的解决方案就是解除受影响的函数。我不得不做同样的工作，围绕戴尔的一些crapware。尽管它需要对x86程序集有一定的理解，但它并不太难。您必须禁用DEP，使补丁代码可写，找到原始说明，并将它们复制回来。找到原始指令可能意味着拆卸修补程序。