查看进程是否被注入线程(不在系统模块)当然,该检测是纯windows提供的API所写,某些“伪装者”可能利用一些方法,来隐藏自己。这时候需要写Windows驱动来检测,需要安装windows driver kit(WDK),这个以后再说把。
有些进程被注入了某些恶意的线程(也可能不是恶意的)首先我们拿到该进程的进程模块,用来对比进程中线程的模块是否在这里面把这些模块放入到vector里面便利该进程的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。#pragma region 依赖typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..
