DLL注入之注册表注入

最新推荐文章于 2024-06-05 06:59:46 发布
最新推荐文章于 2024-06-05 06:59:46 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: C++ win7 文章标签: c++ 编程语言 dll注入 动态库注入 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013267687/article/details/105969956
版权
C++ 同时被 2 个专栏收录
14 篇文章 0 订阅
订阅专栏
win7
2 篇文章 0 订阅
订阅专栏

 

注册表注入DLL

顾名思义,就是通过注册表的方式,把需要的执行的代码片段,注入到目标程序中,使目标程序执行指定的代码片段,从而达到预期效果。
该方式依赖user32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入的dll才会被执行到。
你应该也发现了,这个意思就是这是一种全局的注入,也就是说,所有调用到user32.dll的程序,都会调用到我们注入成功的dll,所以用这种方式还是要精心设计一下程序思路和限制条件。

注册表位置:

注册表注入DLL

顾名思义,就是通过注册表的方式,把需要的执行的代码片段,注入到目标程序中,使目标程序执行指定的代码片段,从而达到预期效果。
该方式依赖user32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入的dll才会被执行到。
你应该也发现了,这个意思就是这是一种全局的注入,也就是说,所有调用到user32.dll的程序,都会调用到我们注入成功的dll,所以用这种方式还是要精心设计一下程序思路和限制条件。

注册表位置:

1
2
3
4
5
6
7
8

// AppInit_Dlls(64位程序读取)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]

AppInit_Dlls(32位程序读取)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]

32位系统:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]

注册表的认识:

1
2
3
4
5
6

// 注册表根:
// HKEY_CLASSES_ROOT
// HKEY_LOCAL_MACHINE
// HKEY_CURRENT_USER
// HKEY_USERS
// HKEY_CURRENT_CONFIG

这几个的意义不多做阐述,需要自行了解每个节点的意义,但是其实从命名上也能猜出一二
需要了解的是这几个玩意儿:

1

// AppInit_DLLs  LoadAppInit_DLLs RequireSignedAppInit_DLLs

AppInit_DLLs:是注册表在中的一个系统设置项,它的值可以为一个dll路径列表,其实这里就是我们要注入的dll(注意:这里是全局注入)
LoadAppInit_DLLs:真正做过该内容开发的人,就会发现,xp下是没有这个项的,而大于win7的系统版本下才有这个项,LoadAppInit_DLLs 为1开启,为0关闭,(Win7默认为0)
RequireSignedAppInit_DLLs:这个的xp下也是没有的,值为1表明模块需要签名才能加载,反之则不行

AppInit_DLLs详细的键值介绍,可以查看官方文档(Win7):
https://docs.microsoft.com/zh-cn/windows/win32/win7appqual/appinit-dlls-in-windows-7-and-windows-server-2008-r2?redirectedfrom=MSDN

需要认识的API

1
2
3

// API: RegOpenKeyEx RegSetValueEx RegQueryValueEx RegCloseKey
// 权限:KEY_READ KEY_WRITE KEY_EXECUTE KEY_ALL_ACCESS
// 涉及的数据类型:REG_SZ REG_DWORD

RegOpenKeyEx:打开注册表路径,调用时候,只需要打开到所需要修改设置项的路径,例如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (真正调用的时候注意转义)
再打开注册表的时候,可以通过设置:KEY_READ KEY_WRITE KEY_EXECUTE KEY_ALL_ACCESS来获取读写权限,当然也有可能获取失败的时候,所以要关注返回值

RegQueryValueEx:查询对应的键值
RegSetValueEx:设置键值
RegCloseKey:关闭当前打开的注册表
在调用过程中注意返回值类型,可以用ERROR_SUCCESS去判断是否调用成功,其他类型可以查看相关文档。
其他不做赘述了

写一个简单demo:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

#include <Windows.h>
#include <stdio.h>
#include <string.h>

int main()
{
	HKEY hKey;
	char *csAppInitValue = "C:\\test.dll";
	DWORD dwLoadAppInitValue = 1;
    char csSubKey[] = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\";
    LSTATUS lsRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,csSubKey,0,KEY_ALL_ACCESS,&hKey);

	if (lsRet != ERROR_SUCCESS)
	{
		printf("Open Key Failed....\n");
		return -1;
	}
	
	char csBuf[100] = "";
	DWORD dwSize = 100;
	DWORD dwType = 0;
	RegQueryValueEx(hKey,"AppInit_DLLs",0,&dwType,(LPBYTE)csBuf,&dwSize);

	int nSize = strlen(csAppInitValue);
	lsRet = RegSetValueEx(hKey,"AppInit_DLLs",0,REG_SZ,(const BYTE *)csAppInitValue,nSize+1);

	if (lsRet != ERROR_SUCCESS)
	{
		printf("Set Key Failed....\n");
		return -1;
	}

	

	lsRet = RegSetValueEx(hKey,"LoadAppInit_DLLs",0,REG_DWORD,(const BYTE *)&dwLoadAppInitValue,sizeof(DWORD));

	if (lsRet != ERROR_SUCCESS)
	{
		printf("Set Key Failed....\n");
		return -1;
	}

	RegCloseKey(hKey);

    getchar();
    return 0;
}

最后

对了,如何查看程序调用了哪些dll,这是一个新手问题,在这里我推荐一个很好用的工具:Process Explorer
这个工具,可以定位程序包括pid与调用的动态库等几乎所有的程序相关信息,具体怎么用,可以自行网络搜索,或者后续等我出一篇使用经验,哈哈哈,这个可能要等很久。
有兴趣可以联系我,一起分享学习经验,哈哈哈~

 

 

我的原博客位置:http://halfofpoetry.github.io/2020/05/07/DLL%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%B3%A8%E5%85%A5/

半句唐诗
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入工具.rar
04-04
5. 注册表操作:有些DLL注入工具可能涉及到注册表的修改,以便于DLL在系统启动时自动加载。易语言的“注册表”库提供了相应的接口,可以方便地读写注册表键值。 6. 错误处理:编程过程中难免会遇到各种错误,如找不...
DLL注入——使用注册表
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 3936
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表:windows+R键,输入regedit。
文件(.dll)写入注册表
weixin_43529968的博客
02-08 1382
dll文件注册: regsvr32.exe regasm.exe(.NET)
DLL注入工具:利用 ZwCreateThreadEx 注入 DLL
最新发布
weixin_41245990的博客
06-05 563
x86-64:x86-32:DWORD dw1,DWORD dw2,其中,lpStartAddress 支持提供内存地址用于执行 Payload 函数,lpParameter 传入结构体指针,用于在回调中使用。
注入系列:注册表注入
weixin_43742894的博客
03-22 1429
0x00 概述 注册表注入,是一种比较简单的注入,主要依赖于俩个表项,AppInit_Dlls和LoadAppInit_DLLs。AppInit_Dlls写入dll完整路径,LoadAppInit_DLLs写为1,重启后,指定DLL注入到所有运行进程。 0x01 实现原理 User32.dll在被加载到进程时,会读取AppInit_Dlls表项。若有值,并调用LoadLibrary来载入这个字符...
windows DLL注入注册表注入
qq_33168924的博客
11-07 1764
windows下的注入注册表注入: 1.概念介绍: 注入与Hook:注入与hook经常被人们混淆,其实注入和hook是两种windows下的编程技术(当然,其他平台也有相关的技术),由于在安全编程中,两项技术经常被同时结合起来使用,所以常常导入混淆。今天我们就谈谈windows下的注入技术。 1.1 Hook: hook 的中文名叫钩子,hook 是程序设计中最为灵活多变的技巧之一,hook对指...
一、C++反作弊对抗实战 (基础篇 —— 2.注册表注入DLL)
Koma的主页
03-02 719
在Windows NT/XP操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_dlls下面列出的所有模块。
DLL注入模块.rar
04-04
4. 注册表注入:修改注册表键值,使目标进程在启动时自动加载指定的DLL。 5. 远程过程调用(RPC):通过网络或本地进程间通信机制,让一个进程请求另一个进程加载特定的DLLDLL注入在合法的应用场景中,如调试、...
DLL注入.ec
07-05
APC注入_内存 APC注入_应用层 EIP注入 EIP注入_调用函数 EIP注入卸载 IAT注入 进程暂停注入 内存永久注入 内存注入 内存注入_调用函数 输入法注入 ...远程线程注入DLL ...注册表注入 ...卸载注册表注入 ...卸载注册表注入
DLL各种注入方法收集
11-08
6. **远线程注入**:这是最常用的DLL注入方法之一,通过创建或修改目标进程的远程线程,使其执行加载DLL的代码。这种方法需要使用到Windows API函数如CreateRemoteThread。 7. **消息钩子注入**:通过安装全局或...
DLL注入器源码-易语言
06-12
5. 注册表操作:在某些情况下,DLL注入可能需要修改注册表来达到目的,例如设置自启动项。易语言提供了相应的注册表操作函数,学习如何使用它们是必要的。 6. 错误处理与调试:在编写DLL注入器时,可能会遇到各种...
注册表注入USB启用reg文件
12-28
注册表注入USB禁用reg文件禁用后想恢复USB端口使用的,请下载这里的注册表注入USB启用reg文件
windows十种注入方式
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
09-13 5598
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
简单注册表注入DLL
m0_46377671的博客
12-11 1608
注册表路径: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 此注册表注入是一种很简单的注入手法,主要依赖于两个表项AppInit_DLLs和LoadAppInit_DLLs,前者写入dll完整路径,后者值写为1。User32.dll在被加载到内存的时候,会读取AppInit_Dlls的值,如果有值,则通过LoadLibrary来加载dll。 利用vc生成简单dll // 注册表注入DLL.cpp :
DLL注入:使用注册表进行DLL注入
I have a dream
10-24 4005
实验原理 (1)在注册表编辑器中,将要注入DLL的路径字符串写入AppInt_DLLs项目,把LoadAppInit_DLL的项目值设为1。重启后,指定DLL注入所有运行的进程。 (2)其实是,user32.dll被加载到进程时,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary加载用户DLL。因此严格讲,该DLL只是被加载到加载user32.dll的进程。 (3)注...
Windows系统的dll注入
m0_68937036的博客
03-03 1600
Windows系统的dll注入
怎么注册DLL注册表
l198738655的博客
05-16 2925
regsvr32 WebOperation.dll 上面的命令用记事本写好另存为××.bat,然后放到和DLL同一个目录下双击运行即注册完毕。 regsvr32 /u WebOperation.dll 同样的办法,放到DLL同文件夹双击后即从注册表卸载DLL
简单注册表注入原理实现
PwnGuo的博客
06-20 1309
注册表中默认提供了AppInit_Dlls与LoadAppInit_Dlls两个注册表项 在注册表编辑器中,将要注入DLL路径字符串写入AppInit_Dlls项目,然后把LoadAppInit_Dlls项目值设置为1,重启后,指定DLL注入所有运行进程。 工作原理:User32.dll被加载到进程是,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary()API加...
delphi dlldll注入
08-07
DLL注入是一种技术,它允许将DLL文件加载到正在运行的进程中,并使得该进程能够调用DLL中的函数和使用其中的数据。 在Delphi中实现DLL注入的方法有很多种。一种常见的方法是使用Windows API函数LoadLibrary和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值