Dll注入技术之注册表注入

最新推荐文章于 2022-08-24 20:38:43 发布
最新推荐文章于 2022-08-24 20:38:43 发布
阅读量6.7k 收藏 7
点赞数
分类专栏: Win32
DLL注入技术之REG注入
    DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。
    REG注入原理是利用在Windows 系统中,当REG以下键值中存在有DLL文件路径时,会跟随EXE文件的启动加载这个DLL文件路径中的DLL文件。当如果遇到有多个DLL文件时,需要用逗号或者空格隔开多个DLL文件的路径。
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

REG注入就好比在食堂(Windows 系统)发放给学生(EXE文件)饭菜(DLL文件)的过程中,食堂在将原有饭菜的基础上多发给一份紫菜鸡蛋汤(AppInit_DLL中的DLL文件),这个紫菜鸡蛋汤可以是英伟达的UI加速的DLL文件,也可以是是病毒文件的DLL,这就要看使用者是怎么利用这个特性了。


    我们可以利用这个特性来进行DLL的注入,接下来需要解决的就是关于注册表操作的Windows API了,如下列表格所示:
RegOpenKeyEx  打开注册表键值  
RegQueryValueEx  查询键值  
RegSetValueEx  设置键值  
RegCloseKey  关闭键值  

    主要代码如下:

    //打开键值
    nReg = RegOpenKeyEx(
        HKEY_LOCAL_MACHINE, 
        m_szRegPath,
        0, 
        KEY_ALL_ACCESS,
        &hKey);

    if(nReg != ERROR_SUCCESS)
    {
        return FALSE;
    }   

    //查询键值
    DWORD dwReadType;
    DWORD dwReadCount;
    TCHAR szReadBuff[1000] = {0};
    nReg = RegQueryValueEx(hKey,
        _T("AppInit_DLLs"),
        NULL,
        &dwReadType,
        (BYTE*)&szReadBuff,
        &dwReadCount);

    if(nReg != ERROR_SUCCESS)
    {
        return FALSE;
    }

    //是否dll名称已经在内容中
    tstring strCmpBuff;
    strCmpBuff = szReadBuff;
    if (!strCmpBuff.find(InjectFilePath))
    {
        return FALSE;
    }

    //有字符串就加入空格
    if (0 != _tcscmp(szReadBuff,_T("")))
    {
        _tcscat_s(szReadBuff,_T(" "));
    } 

    _tcscat_s(szReadBuff,InjectFilePath);

    //把dll路径设置到注册表中
    nReg = RegSetValueEx(hKey,
        _T("AppInit_DLLs"),
        0,
        REG_SZ,
        (CONST BYTE*)szReadBuff,
        (_tcslen(szReadBuff)+1)*sizeof(TCHAR));

当我们完成了注册表的注入时,并不是希望所有程序都运行DLL里面的内容,这时我们就需要在DLL中过滤窗口名称,让指定窗口名称的EXE文件运行DLL里的线程。所需API如下表所示:

CreateThread
创建线程
Sleep
睡眠
EnumWindows
遍历窗口
GetWindowText
得到窗口名称
GetCurrentProcessId
得到当前进程ID
GetWindowThreadProcessId
由HWND获得进程ID

    为了实现此功能,我们需要在注入的DLL中创建线程,并在线程中执行遍历窗口函数,我们需要先获取窗口名称,与我们想运行的EXE名称进行对比,并进行进程ID对比,因为不光只有一个EXE文件的运行实例,经过这些过滤后,我们就可以在指定的EXE文件中运行代码了。

    主要代码如下:

BOOL CALLBACK lpEnumFunc(HWND hwnd, LPARAM lParam)
{
    TCHAR str[MAXBYTE] = {0};
    //得到窗口名称
    GetWindowText(hwnd,str,sizeof(str));
    //是否名称是计算器
    if(0 == _tcscmp(str,_T("计算器")))
    {
        //由于存在可能多个计算器,需要过滤线程ID
        //得到本身线程的ID
        DWORD dwCurrentProcessId = GetCurrentProcessId();
        DWORD dwFindCurrentProcessId = 0;
        //得到窗口线程ID
        GetWindowThreadProcessId(hwnd,&dwFindCurrentProcessId);
        //比较
        if (dwCurrentProcessId == dwFindCurrentProcessId)
        {
            *(PDWORD)lParam = 1;
            return FALSE;
        }
    }
    return TRUE;
}


DWORD ThreadProc(LPVOID lParam)
{
    //等待1秒时间以便于让windows创建窗口
    Sleep(1000);
    DWORD dwFind = 0;
    //遍历窗口,过滤窗口名称
    EnumWindows(lpEnumFunc,(LPARAM)&dwFind);

    if (!dwFind) return 0;
    
	// 运行代码
	
    return 0;
}

BOOL InitInstance()
{
    DWORD dwThreadId;
    m_hThread = ::CreateThread(NULL, NULL, 
        (LPTHREAD_START_ROUTINE)ThreadProc, 
        this, NULL,&dwThreadId);

    return TRUE;
}


REG注入操作简单易懂,甚至不用写程序都可以完成注入操作,但是正是由于他的简单性,每个EXE都被注入,效率低,程序的扩展性差。

ProgrammingRing
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
永久注入内存中的DLL(无声)
06-06
资源介绍:。永久注入内存中的DLL。百度、论坛上已经有很多修改EXE输入表来用久注入DLL的了。但这样做就必须放置一个DLL在EXE文件的目录下 看起来不顺眼。而且万一被删了就无法运行了。今天无聊 我来给大家讲一下怎么修改EXE 使你的DLL与EXE融为一体。实现永久内存加载 这是前不久我发现的一种方法。使用的工具:。C32Asm。Ollydbg。LordPE。加区段工具Zeroadd。OC(偏移量转换器)。这几个东西网上都有 大家应该也都有 我就不打包了。要不然文件太大了 没有的自己去搜吧。////////////////////////////////////////////////////////////。////////////////////////////////////////////////////////////。我们以修改腾讯TT为例 其他大家举一反三 首先 我们先用黑月写一个测试DLL。好了这个就是我们的测试DLL 然后将它导入我修改后的PELoader中,当然 我可以略过这一步,因为我是用黑月写的 如果你的DLL是用易语言静态或普通编译而成的就不能略过这一步。好
使用注册表注入DLL
qiuxue110的专栏
06-05 229
如图 首先找到注册表的位置
DLL注入——使用注册表
最新发布
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 4063
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表:windows+R键,输入regedit。
注册表注入
Lyntion的Blog
10-02 1947
在Windows NT/2000/XP/2003中,有一个注册表键值: HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsHKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs。当某个进程加载User32.dll时,这里面列出的所有的DLL都将U
利用注册表注入DLL
梦想照进现实
02-05 5473
    关键字:注册表,DLL,注入.    关键函数:无.系统安全:特殊注册表键值"AppInit_Dlls"  发布时间:2008.07.04 04:43     来源:赛迪网    作者:smallfrogs【赛迪网-IT技术报道】如果你对计算机安全有所了解,那么各种各
DLL注入工具.rar
04-04
DLL注入是一种技术,常用于软件调试、性能监测、恶意软件活动中,通过将动态链接库(DLL)加载到另一个正在运行的进程内存空间中,实现对目标进程的功能扩展或控制。这个压缩包“DLL注入工具.rar”包含的是易语言...
DLL注入模块.rar
04-04
DLL(Dynamic Link Library)注入...总的来说,DLL注入是Windows编程中的一项复杂技术,既可以用于正当的目的,也可能被用于非法活动。理解和掌握DLL注入的原理与防范方法,对于系统安全和个人隐私保护都具有重要意义。
DLL注入.ec
07-05
APC注入_内存 APC注入_应用层 EIP注入 EIP注入_调用函数 EIP注入卸载 IAT注入 进程暂停注入 内存永久注入 内存注入 内存注入_调用函数 输入法注入 ...远程线程注入DLL ...注册表注入 ...卸载注册表注入 ...卸载注册表注入
DLL各种注入方法收集
11-08
6. **远线程注入**:这是最常用的DLL注入方法之一,通过创建或修改目标进程的远程线程,使其执行加载DLL的代码。这种方法需要使用到Windows API函数如CreateRemoteThread。 7. **消息钩子注入**:通过安装全局或...
DLL注入器源码-易语言
06-12
DLL注入是一种常见的编程技术,主要用于在其他进程上下文中执行代码,通常用于调试、监控、篡改应用程序行为或解决跨进程通信问题。在这个“DLL注入器源码-易语言”资源中,我们可以学习到如何利用易语言来实现DLL...
注入系列:注册表注入
weixin_43742894的博客
03-22 1473
0x00 概述 注册表注入,是一种比较简单的注入,主要依赖于俩个表项,AppInit_Dlls和LoadAppInit_DLLs。AppInit_Dlls写入dll完整路径,LoadAppInit_DLLs写为1,重启后,指定DLL注入到所有运行进程。 0x01 实现原理 User32.dll在被加载到进程时,会读取AppInit_Dlls表项。若有值,并调用LoadLibrary来载入这个字符...
常见Windows API(文件、注册表、服务、进程线程、DLL
fa1lr4in的小博客
03-19 1152
文件相关: 创建或打开文件: HANDLE CreateFile( LPCSTR lpFileName, //欲打开或创建的文件名,也可以是设备对象之类的被视为文件的相关对象 DWORD dwDesiredAccess, //对文件的访问模式,只读,只写,还...
删除内存中多余的DLL文件(注册表
A soul tortured by desire
01-22 1486
如果积累太多的无用的DLL文件会影响电脑的速度。 通过修改注册表,则可以查看内存中的DLL文件是否使用完全,其中未被使用的DLL文件可以通过修改注册表自动删除。
DLL注入:使用注册表进行DLL注入
I have a dream
10-24 4036
实验原理 (1)在注册表编辑器中,将要注入DLL的路径字符串写入AppInt_DLLs项目,把LoadAppInit_DLL的项目值设为1。重启后,指定DLL注入所有运行的进程。 (2)其实是,user32.dll被加载到进程时,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary加载用户DLL。因此严格讲,该DLL只是被加载到加载user32.dll的进程。 (3)注...
一、C++反作弊对抗实战 (基础篇 —— 2.注册表注入DLL)
Koma的主页
03-02 745
在Windows NT/XP操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_dlls下面列出的所有模块。
另类注册表注入
IT男也疯狂
07-03 442
留个档,特点就是注入后只有ntdll加载了,其他系统模块都没加载,所以需要自己搞点东西void reg_inject_dll(LPCTSTR lpszExeName,LPCTSTR lpszDllName) { HKEY hKey; int dwFlag = 0x100; TCHAR szKey[MAX_PATH] = {}; StringCbPrintf(szKe...
注入技术注册表注入
whs100505的博客
02-09 439
注册表注入 原理:当需要加载User32.dll的应用启动时,User32.dll会加载HKEY_LOCAL_MACHINE\SoftWare\MicroSoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls键下的模块 #include <Windows.h> #include <string> #include <tc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值