使用DLL_THREAD_ATTACH阻止远程线程

当进程创建一个线程的的时候，系统会检查当前映射到该进程的地址空间中的所有DLL文件映像，并用DLL_THREAD_ATTACH来调用每个DLL的DllMain函数，新创建的线程负责执行所有DLL的DllMain函数中的代码。系统不会让进程的主线程调用DLL_THREAD_ATTACH的值来调用DllMain函数。
       此时新线程已经被创建但尚未执行，更精确的说已经创建了线程内核对象、线程堆栈等资源，正处于初始化阶段。只有在每个DLL都正常处理DLL_THREAD_ATTCH通知，新线程才能开始执行！

   远程线程本质与本地线程一样，区别只是由其他进程创建。我们就是要写个DLL，在收到DLL_THREAD_ATTACH时通知结束线程，那么远程线程就无法执行了。

代码：

 // 创建标识
 // 创建线程之前设置为TRUE，表示需要创建一个合法的线程
 // 只有合法线程才能正常创建
 BOOL bStatus = FALSE ;


 VOID MY_OutputDebugStringA ( const char* szFormat,...)
 {
     char szBuf[1024] ;

     va_list argList ;
     va_start ( argList, szFormat ) ;
     vsprintf ( szBuf, szFormat, argList ) ;
     va_end ( argList ) ;

     OutputDebugStringA ( szBuf ) ;
 }

 // 设置线程创建标识
 VOID  SetStatus ( BOOL status )
 {
     bStatus = status ;
 }
 BOOL APIENTRY DllMain( HMODULE hModule,
                        DWORD  ul_reason_for_call,
                        LPVOID lpReserved
                      )
 {
     switch (ul_reason_for_call)
     {
     case DLL_PROCESS_ATTACH:
     case DLL_THREAD_ATTACH:
         MY_OutputDebugStringA ( "DLL_THREAD_ATTACH ThreadId=%d", GetCurrentThreadId() ) ;

         // 检测线程创建标识
         if ( bStatus == FALSE )
         {
             // 如果线程创建标识为FALSE，就直接结束线程
             MY_OutputDebugStringA ( "Terminate unvalid thread!" ) ;
             TerminateThread (GetCurrentThread(),0 ) ;
         }
         else
         {
             // 每次创建合法线程后，自动关闭创建标识
             // 每次设置合法线程标识只能使用一次
             SetStatus ( FALSE ) ;
         }
         break;
     case DLL_THREAD_DETACH:
         MY_OutputDebugStringA ( "DLL_THREAD_DETACH ThreadId=%d", GetCurrentThreadId() ) ;
         break ;
     case DLL_PROCESS_DETACH:
         break;
     }
     return TRUE;
 }

SetStatus函数要导出一下

为了能使本程序自身正常创建线程

代码：

 SetStatus(TRUE);
     CreateThread(NULL,0,NewThread,NULL,0,NULL);