原来自动启动程序可以这样做?

最新推荐文章于 2023-12-26 09:36:05 发布
最新推荐文章于 2023-12-26 09:36:05 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 应用程序-usermode 网络程序防火墙 文章标签: dll 杀毒软件 hook windows 加密 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Dream_/article/details/1932377
版权

原来自动启动程序可以这样做?


(1) 映像劫持:

机子中了病毒 MsSvcHost64.exe , 该病毒利用了映像劫持. 后来装了杀毒软件把 MsSvcHost64.exe 删除后
出现了 ctfcom.exe 不能启动的情况,检查后才发现中招了. 这里的 ctfmon.exe 是自动启动,从而病毒自动运行
作用是: 当运行 ctfmon.exe 时,  MsSvcHost64.exe 总先一步启动执行,达到自动运行的目的.

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ctfmon.exe]
"Debugger"="C://WINDOWS//inf//MsSvcHost64.exe"


(2)DLL 加载:
这是从一个文件加密软件中得到的。
看过 《windows 核心编程》的同志们一定记得: 凡是在该注册表键下指定的 DLL 要被所有用户程序加载, 和主进程位于同以进程空间中.
 . 这个做法可以为 virus 利用来 Hook API
 . 可以达到自动启动的目的

在用 OD 调试程序时无意间发现的: 每个被调试程序的地址空间中都存在模块 docsafe.dll 映像。
搜索注册表后发现位 docsafe.dll 于下面键值下. 可以考虑在软件中利用这点. 
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows]
"AppInit_DLLs"="D://WINDOWS//system32//docsafe.dll"
Blue_Dream_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
c#中实现退出程序自动重新启动程序的方法
12-25
//触发退出程序事件 private void button1_Click(object sender, EventArgs e) { Application.ExitThread(); Thread thtmp = new Thread(new ParameterizedThreadStart(run)); object appName = Application....
打印服务print spooler自动启动程序
03-18
标题中的“打印服务print spooler自动启动程序”指的是Windows操作系统中的Print Spooler服务,这是一个关键组件,负责管理打印机队列和处理打印任务。当Print Spooler服务异常关闭时,用户可能会遇到无法打印的问题...
DLL注入
wk19951125的博客
02-17 267
DLL注入DLL注入DLL注入的作用DLL注入的实现方法CreatRemoteThread()流程 DLL注入 DLL注入:向运行中的其他进程强制插入特定的DLL文件。 DLL被加载到进程后会自动运行DllMain()函数。 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved){ switch(dw...
DLL注入之Appinit_Dlls
swanabin的专栏
03-18 6145
AppInit_DLLs is a mechanism that allows an arbitrary list of DLLs to be loaded into each user mode process on the system. Microsoft is modifying the AppInit DLLs facility in Windows 7 and Windows Serv
解决WIN10企业版系统下软件无法开机自启问题
11-17 1296
设置好软件的开机自启功能,重启后软件无法自己启动。需要在本地组策略编辑器禁止几项功能。根据图片提示把这两项用户账户控制禁用,设置完成后系统重启就可以了。Win+R 或者 Win+Q 进入本地组策略。
Windows软件应用开机自启失效解决办法
最新发布
qq_40152409的博客
12-26 3144
3、若启动后无法解决,win+R 输入shell:startup进入程序启动文件夹,将需要启动的应用快捷方式放入即可。4、若不知道应用快捷方式在哪,win+R 输入shell:appsfolder进入应用程序文件夹,将需要自启的文件拖拽到程序启动文件夹即可,然后重启下试试吧。
windows 自制后台运行进程、exe开机自启动服务
热门推荐
远古大猛犸
12-13 2万+
1、制作后台运行程序 首先创建一个bat脚本, app.bat,里面写入运行命令,如:node app.js >log.log 然后下载一个将bat转换成exe文Bat_To_Exe_Converter件的工具,将bat转换成exe,如下 生成exe文件后,鼠标点击启动,如下图: 2、制作开机自动启动服务 开机自启动原理就是将exe文件,通过命令注
开机自动启动程序.rar
09-11
Windows操作系统中,开机自动启动程序是指在系统启动时会自动运行的一系列应用程序或脚本。这些程序通常被设定为用户登录或者系统启动时执行,以便实现特定功能,如系统维护、后台服务、用户个性化设置等。VB.NET...
将应用程序设置为自动启动模式.cpp
11-16
将应用程序设置为自动启动模式
如何让自己的程序实现自启动
yyjw的专栏
01-30 3683
        有时候我们在安装某一程序的时候,它会询问是否让该程序随操作系统自动启动,病毒的自启动和一般的应用程序并没有差别,其实现的原理还要从Windows的注册表开始。其实,Windows是按照两个文件夹及8个核心的注册表子键来自动加载程序的。Windows 2000/XP启动时会从以下10个地址搜索自启动程序。 1.“启动”文件夹——最常见的自启动程序文件夹。它位于系统分区的“Docu
win7如何使程序开机自启(开机自动启动应用程序)
十一月zz的博客
02-28 1万+
由于很多应用程序并不具有开机自启的功能,所以可以通过注册表编辑器来实现某个应用程序的开机自启1、利用win+R组合键打开运行界面,在编辑框中输入“regedit",然后点击确定或按一下回车键,接着就会弹出”注册表编辑器“,如图所示2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,在点击”Run“之后,如图所示3、...
c#拦截程序的运行
weixin_33739646的博客
06-17 527
有几种方法: 一.Ring3Hook: 可以写个驱动程序, 只需要在初始化代码中用PsSetCreateProcessNotifyRoutine注册一个回调函数就可以在接下去任何process创建时获得通知。 然后只要想办法通知ring3的前端程序就可以了。 如果想在ring3通过api hook实现, 那么需要至少hook所有已存在process的创建进程的api, 据我所知, 至少需要hoo...
将软件成服务自启动
Fintechstar的博客
03-23 1053
实现其开机自动启动步骤其实很简单。这里用到的是微软的两个小工具。instsrv.exe和srvany.exe  微软对instsrv.exe的官方说明如下:  Installs anduninstalls executable services and assigns names to them. 也就是个加载services的小东东。  其用法如下:instsrv<service name...
设置ctfmon.exe自动启动
FlywindMouse的专栏
09-13 6569
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。 程序ctfmon.exe是有关输入法的一个可执行程序,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
简单注册表注入原理实现
PwnGuo的博客
06-20 1309
注册表中默认提供了AppInit_Dlls与LoadAppInit_Dlls两个注册表项 在注册表编辑器中,将要注入的DLL路径字符串写入AppInit_Dlls项目,然后把LoadAppInit_Dlls项目值设置为1,重启后,指定DLL会注入所有运行进程。 工作原理:User32.dll被加载到进程是,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary()API加...
服务程序如何自动重启?
07-23
服务程序自动重启可以通过以下几种方式实现: 1. 使用监控工具:可以使用像Supervisor、Systemd、Upstart等监控工具来监控服务程序的运行状态。当服务程序异常退出时,这些工具会自动检测到并重新启动服务。 2. 编写自启动脚本:可以编写一个脚本,在系统启动自动启动服务程序。该脚本可以使用类似于init.d或者rc.local等机制来实现。 3. 使用守护进程:可以编写一个守护进程来监控服务程序的运行状态。当服务程序异常退出时,守护进程会自动检测到并重新启动服务。 4. 使用定时任务:可以设置一个定时任务,定期检测服务程序的运行状态。当服务程序异常退出时,定时任务会触发并重新启动服务。 需要根据具体的环境和需求选择合适的方法来实现服务程序自动重启。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue_Dream_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值