Windows Ring3层注入——注册表注入(五)

最新推荐文章于 2022-08-24 20:38:43 发布
最新推荐文章于 2022-08-24 20:38:43 发布
阅读量341 收藏
点赞数
分类专栏: windows注入 文章标签: c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38493448/article/details/104007220
版权

Windows Ring3层注入——注册表注入(五)

注册表注入原理

在Windows NT/2000/XP/2003操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_Dlls下面列出的所有模块。

根据这个条件,外挂可以将外挂模块所在的路径写到AppInit_Dlls键下,待游戏进程启动并将外挂模块带入之后,再删除AppInit_Dlls键的值以清除痕迹,其核心函数如下。

注册表注入函数原型

   #define DSTKEY "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
	//打开主键
	RegOpenKeyEx(
			    HKEY_LOCAL_MACHINE,
			    DSTKEY,
			    0
			    KEY_ALL_ACESS,
			    &hKey);
	//设置AppInit_DLLs键的值,其中“cDllPath”为待注入DLL的路径
	RegSetValueEx(
				hKey,
				"AppInit_Dlls",
				0,
				REG_SZ,
				cDllPath,
				strlen((char*)cDllPath)+1
				);

注册表注入步骤:

注册表注入可以通过代码实现,通过代码改变注册表键值就可以,在此介绍手动改变键值,进行注入。

下面示例过程需要在Windows 32位或Windows XP

1.使用编译器编译成DLL文件
2.打开regedit.exe,进入如下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
编辑修改AppInit_DLLs表项的值为我们编译的DLL所在的路径地址
3.注册表项修改完毕后,重启系统,使修改生效。重启完毕后,我们使用Process Explorer查看DLL是否被注入进程。

测试的DLL文件源码RegeditInjection.cpp

// RegeditInjection.dll
 
#include <windows.h>
#include <tchar.h>
 
#define DEF_PROCESS_NAME "cmd.exe"  // 目标进程 cmd.exe
 
BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD dwReason, LPVOID lpvRevered) {
	char szPath[MAX_PATH] = {0, };
	char *p = NULL;
 
	GetModuleFileNameA(NULL, szPath, MAX_PATH);
	p = strrchr(szPath, '\\');
 
	switch( dwReason ) {
		case DLL_PROCESS_ATTACH:
			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )
				MessageBox(NULL, TEXT("Hello cmd!!!"), TEXT("info"), MB_OK);  // 被进程加载时弹出MessageBox("Dll Inject Success!!!")
			break;
		case DLL_PROCESS_DETACH:
			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )
				MessageBox(NULL, TEXT("Goodbye cmd!!!"), TEXT("info"), MB_OK);  // 被进程卸载时弹出MessageBox("Dll unInject Ok!!!")
			break;
	}
	return TRUE;
}

1.使用编译器编译成DLL文件
在这里插入图片描述
2.打开regedit.exe,进入如下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
编辑修改AppInit_DLLs表项的值为我们编译的RegeditInjection.dll所在的路径地址
在这里插入图片描述
3.注册表项修改完毕后,重启系统,使修改生效。重启完毕后,我们使用Process Explorer查看RegeditInjection.dll是否被注入进程。

注册表注入优缺点

优点:

简单,易于实现

缺点:

第一,系统重启后才能实现注入,且对DLL的稳定性要求较高。建议只在虚拟机里试用,因为DLL写得不好会造成BSOD(蓝屏),连安全模式也进不去。第二,易于被像ProcessMonitor这样用于监测注册表操作的软件记录,进而被安全分析人员发现。

除夕是我的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一、C++反作弊对抗实战 (基础篇 —— 2.注册表注入DLL)
Koma的主页
03-02 723
Windows NT/XP操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_dlls下面列出的所有模块。
Windows Ring3注入——输入法注入(六)
qq_38493448的博客
01-16 1969
Windows Ring3注入——输入法注入(六)输入法介绍输入法注入原理输入法注入的相关知识输入法注入步骤输入法注入的函数原型及代码示例输入法注入操作描述流程图删除自己安装的输入法: 输入法介绍 输入法是一类特殊的程序,主要功能在程序中是进行文字的输入,一般有外挂式(早期的“万能笔”)和输入法接口式两种实现方式。 外挂式比较简单,它的形式通常是一个EXE文件,通过模拟一些Windows输入...
注入系列:注册表注入
weixin_43742894的博客
03-22 1447
0x00 概述 注册表注入,是一种比较简单的注入,主要依赖于俩个表项,AppInit_Dlls和LoadAppInit_DLLs。AppInit_Dlls写入dll完整路径,LoadAppInit_DLLs写为1,重启后,指定DLL会注入到所有运行进程。 0x01 实现原理 User32.dll在被加载到进程时,会读取AppInit_Dlls表项。若有值,并调用LoadLibrary来载入这个字符...
DLL注入——使用注册表
最新发布
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 3979
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入的dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表windows+R键,输入regedit
windows DLL注入注册表注入
qq_33168924的博客
11-07 1784
windows下的注入注册表注入: 1.概念介绍: 注入与Hook:注入与hook经常被人们混淆,其实注入和hook是两种windows下的编程技术(当然,其他平台也有相关的技术),由于在安全编程中,两项技术经常被同时结合起来使用,所以常常导入混淆。今天我们就谈谈windows下的注入技术。 1.1 Hook: hook 的中文名叫钩子,hook 是程序设计中最为灵活多变的技巧之一,hook对指...
windows十种注入方式
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
09-13 5632
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
32,64位下的Ring3的动态库dll注入
11-22
自己写的一个进程,将对方的进程空间打开,在其中写ShellCode,这句shellcode翻译为机器指令实际上就是loadlibrary(Dll.dll),也就是自己写的一个动态库,在这个动态库中这写了当有进程加载此动态库时弹出一个...
注入总结及编程实现
11-06
在这个话题中,我们将聚焦于"Ring3注入",这是一种在用户模式(Ring3)下进行的注入技术,主要应用于Windows操作系统。 首先,我们要理解操作系统中的Ring3概念。在Intel x86架构的CPU中,操作系统使用保护环...
ring0驱动内核级注册表监控程序.zip
01-27
在IT领域,尤其是系统安全和调试方面,"ring0驱动内核级注册表监控程序"是一种重要的技术手段。本文将详细解析这一主题,包括ring0驱动、内核级监控以及注册表监控的相关知识。 首先,我们要理解什么是ring0驱动。...
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)|sunflover454-9385421-x86Inject_v1.2.zip
10-25
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
注册表注入USB启用reg文件
12-28
注册表注入USB禁用reg文件禁用后想恢复USB端口使用的,请下载这里的注册表注入USB启用reg文件
简单注册表注入DLL
m0_46377671的博客
12-11 1611
注册表路径: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows注册表注入是一种很简单的注入手法,主要依赖于两个表项AppInit_DLLs和LoadAppInit_DLLs,前者写入dll完整路径,后者值写为1。User32.dll在被加载到内存的时候,会读取AppInit_Dlls的值,如果有值,则通过LoadLibrary来加载dll。 利用vc生成简单dll // 注册表注入DLL.cpp :
DLL注入注册表注入
u013267687的专栏
05-07 1747
我的原博客位置:http://halfofpoetry.github.io/2020/05/07/DLL%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%B3%A8%E5%85%A5/ 注册表注入DLL 顾名思义,就是通过注册表的方式,把需要的执行的代码片段,注入到目标程序中,使目标程序执行指定的代码片段,从而达到预期效果。 该...
简单注册表注入原理实现
PwnGuo的博客
06-20 1309
注册表中默认提供了AppInit_Dlls与LoadAppInit_Dlls两个注册表项 在注册表编辑器中,将要注入的DLL路径字符串写入AppInit_Dlls项目,然后把LoadAppInit_Dlls项目值设置为1,重启后,指定DLL会注入所有运行进程。 工作原理:User32.dll被加载到进程是,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary()API加...
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
热门推荐
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
用户注入:(2)注册表注入
weixin_43972499的博客
03-12 274
目录基本概念注入原理实现过程参考代码局限性 基本概念   我们知道,注册表是一个集中管理硬件、软件配置信息的数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及应用程序的运行,并记录了各种硬件和软件的配置信息。注册表注入,顾名思义,就是将我们的想要进行的操作写入到注册表的配置信息里,通过系统加载我们的动态库完成注入注入原理   当应用程序被加载时,应用程序会将User32.dll这一动态库映射到进程空间内,这时会触发User32动态库的DllMain函数中的DLL_PROC
Windows Ring3DLL注入技术总结
"这篇文章除了介绍Windows x86/x64 Ring3Dll注入的概念,还总结了六种Dll注入技术,并提供了权限提升的函数示例。" 本文主要探讨的是Windows操作系统中的Dll注入技术,特别是在Ring3,即用户模式下的注入方法。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值