应用程序保护通过对流行木马、蠕虫最常用的六个关键入侵点进行监控，保护应用程序进程不被入侵。

　　1、注入远程动态连接库。

　　动态连接库注入是大量恶意代码入侵其他进程的有效手段。在盗号木马、浏览器劫持等木马中特为常见。

　　2、写远程进程的内存。

　　大量恶意代码采用此方式入侵其他进程。在盗号木马、浏览器劫持等木马中特为常见。

　　3、启动远程线程。

　　大量恶意代码采用此方式入侵其他进程。此行为多与“写内存”配合，达到代码注入和运行的目的。在盗号木马、浏览器劫持等木马中特为常见。

　　4、终止进程。

　　大量恶意代码会通过遍历进程信息查找并结束安全软件进程，破坏计算机安全。

　　5、发送消息。

　　大量恶意代码通过此方式获取文本框中的数据，窃取敏感信息。

　　6、模拟按键。

　　部分恶意代码通过此方法模拟键盘输入，通过即时通讯软件传播自己。

　　应用程序保护能拦截其他进程通过以上6种方式入侵目标进程的动作，提高了被保护进程的独立性，有效保护隐私不被窃取，系统进程不被利用。

　　建议对需要透露敏感信息的进程，例如QQ等即时通讯软件，网络银行的客户端程序（包括Internet Explorer），各类网游进行保护。

　实用：

QQ密码保护

　　1、选择保护对象。在“应用程序保护”设置对话框中点击“添加”，选择QQ主程序。

　　2、在弹出的规则编辑框中将六个规则全部选中，最大限度保护QQ主程序。然后点击确定按钮。

　　3、在应用规则后，启动QQ主程序，桌面由下方显示提示框，提示用户QQ主程序被保护。

　　4、这个而已序试图对QQ进行写内存，进一步进行启动远程线程将其释放的动态库注入到QQ进程中。此时，应用程序保护进行了拦截，用户可选择“拒绝”，阻止恶意行为的继续。

　　在阻止恶意行为发生的时候,应用程序保护弹出对话框包含了如下信息：

　　1、目前被拦截的动作的描述（ 瑞星应用限制发现该程序试图改写目标程序 ）。

　　2、当前动作的发起方信息。包括：进程ID，文件全路径、版本、厂商。

　　3、当前动作的受动方信息、包括：当前动作的描述，进程ID，全路径，版本，厂商。

　　这些信息是在动作发生的第一时间显示。这些信息可以帮助用户阻止和发现系统中存在的可疑进程。

　　应用程序保护的历史记录：

　　历史记录中记录着触犯应用程序保护的各个动作。如果在规则编辑框中选择了放过，那么触犯规则时将不提示用户，不妨碍用户使用，但是所以动作都会被记录下来，方便日后查看、分析和发现可疑进程。

　　编辑规则时都选择放过

　　2、保护正常应用程序不被利用.

　　大量恶意代码将主要功能放入动态连接库,然后注到系统进程中(iexplore.exe),利用此方法进行防火墙穿越.

　　将常被利用的系统文件,例如:iexplore.exe,smss.exe,winlogon.exe等放入应用程序保护列表中，进行保护。

　　模拟输入被拦截

　　DLL注入被拦截