DLL注入练习之注册表主表-AppInit_DLLs表项

最新推荐文章于 2024-01-11 16:59:23 发布
最新推荐文章于 2024-01-11 16:59:23 发布
阅读量5.8k 收藏 6
点赞数
分类专栏: Windows编程学习 文章标签: winapi 技术 注册表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013565525/article/details/28416279
版权

上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。

其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DLLs和LoadAppInit_DLLs的键值即可。

(User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。所有,DLL注册表注入,并不会影响所有进程,只会影响加载了user32.dll的进程)


(下面示例过程在windows 32位下测试成功)

下面给出测试的DLL文件源码

MessageBox.cpp

// MessageBox.cpp

#include <windows.h>
#include <tchar.h>

#define DEF_PROCESS_NAME "cmd.exe"  // 目标进程 cmd.exe

BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD dwReason, LPVOID lpvRevered) {
	char szPath[MAX_PATH] = {0, };
	char *p = NULL;

	GetModuleFileNameA(NULL, szPath, MAX_PATH);
	p = strrchr(szPath, '\\');

	switch( dwReason ) {
		case DLL_PROCESS_ATTACH:
			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )
				MessageBox(NULL, TEXT("Hello cmd!!!&#
最低0.47元/天 解锁文章
RickGray
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
想玩一个简单的注入??AppInit_DLLs注册表注入它来了
KOOKNUT的博客
06-29 1610
之前介绍过一些Ring3层的注入方式,但那些都是需要用代码来实现注入,实现起来相对来说比较复杂。如果有兄弟想试一下注入的快感,又不想写复杂的程序,那么不妨可以玩玩注册表注入方式。 不过这种注入方式有他的弊端,那就是注入的程序必须加载user32.dll,也就说通常是那些GUI程序才可以。原因是,每当启动一个GUI程序,他都会扫描注册表AppInit_DLLs项,看看其中有没有制定的目标库,如果有,那就在程序运行时,首先主动加载该动态库,所以我们只需要将Dll完整路径写在这个位置,就可完成注入。值得一提的
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6743
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
使用注册表Applint_DLLs的DLL注入
最新发布
m0_68653650的博客
01-11 506
软件逆向工程课程,仅限用于课程学习,切记不要用于其他用途哦!
利用AppInit_Dlls注入在win10上的限制
weixin_33970449的博客
11-21 706
起因 AppInit_Dlls注入方法特别简便,日常注入测试首选,在win7上屡试不爽,具体原理如下: support.microsoft.com/en-us/help/… docs.microsoft.com/en-us/windo…windows-7-and-windows-server-2008-r2 但是最近使用win10系统之后发现,注入方法失效。在检查过所有的配置都正确之...
DLL注入Appinit_Dlls
swanabin的专栏
03-18 6144
AppInit_DLLs is a mechanism that allows an arbitrary list of DLLs to be loaded into each user mode process on the system. Microsoft is modifying the AppInit DLLs facility in Windows 7 and Windows Serv
特殊注册表键值"AppInit_Dlls"
weixin_33695450的博客
11-20 323
正常情况下它的值应该是空的。 这个项目表示每当一个程序启动的时候,appinit_dlls中的dll文件就会注入到该程序里面去启动。 举个例子:如果appinit_dlls=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。 如果被篡改,请按以下步骤操作: 1、打开注册表: 开始——运行——键入:REG...
Avanguard-master_library_Anti-Intrusion_win32_
10-04
injection techinques (against of CreateRemoteThread manual modules mapping injection through APC and AppInit_DLLs context switching)* Memory protection (kernel callbacks remapping)* Anti-splicing ...
Android代码-AppInit
08-06
AppInit:Android 应用初始化框架 AppInit 是一款 Android 应用初始化框架,基于组件化的设计思路,功能灵活,使用简单。 AppInit 用于解决美团收银 B 端 App 在业务演进过程中的实际问题,取得了不错的效果,...
anti-anti-vm-detection-dll
05-14
使用dll的方法是将其路径写入AppInit_DLLs注册表值,然后每个加载user32.dll的进程也将加载我的dll。 还有2个黑名单文件:registry_blackList.txt,files_blackList.txt。 这些文件定义要隐藏的文件和注册表项。 ...
开机自启动加载dll 无需exe.zip
01-28
在提供的压缩包文件名“auto_load_dll_AppInit_DLLs.reg”中,“.reg”表明这是一个注册表文件,通常用于导入或导出注册表项。AppInit_DLLs是Windows注册表中的一个键,位于`HKEY_LOCAL_MACHINE\Software\Microsoft\...
AppInit Win7 2008 x32 x64
07-06
在Windows操作系统中,AppInit DLLs是一种机制,允许应用程序在用户模式进程启动时加载自定义的动态链接库(DLLs)。这个功能在Windows 7和Windows Server 2008 R2中得到了改进,以提高系统代码的完整性和可见性。...
DLL注入——使用注册表
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 3931
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表:windows+R键,输入regedit。
简单注册表注入DLL
m0_46377671的博客
12-11 1607
注册表路径: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 此注册表注入是一种很简单的注入手法,主要依赖于两个表项AppInit_DLLs和LoadAppInit_DLLs,前者写入dll完整路径,后者值写为1。User32.dll在被加载到内存的时候,会读取AppInit_Dlls的值,如果有值,则通过LoadLibrary来加载dll。 利用vc生成简单dll // 注册表注入DLL.cpp :
后门及持久化访问3----进程注入AppInit_DLLs注册表
浅笑996的博客
07-01 738
进程注入AppInit_DLLs注册表项 User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。只会影响加载了user32.dll的进程。 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Window\Appinit_Dlls 代码如下: #include #include using namespace std; int
关于注册表注入无法生效的问题
angliu9837的博客
02-20 350
远程过几个客户现场的环境,只有极少数环境会有这个问题。以前没太在意,今天又遇到一个,真是头大。 通过搜索终于找到问题所在了:与UEFI启动相关。 引用一下微软的网站: https://msdn.microsoft.com/en-us/library/windows/desktop/dn280412(v=vs.85).aspx 里面有关于UEFI安全启动禁止Appinit_Dlls...
App init dlls注册表路径
心之所向,身之所往
04-07 945
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]
AppInit_Dlls键值
crystal0011的专栏
10-21 1921
如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。     AppInit_Dlls键值位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型
windowsDLL注入
05-21
4. 应用程序扩展(AppInit_DLLs)注入:通过修改注册表中的AppInit_DLLs键来指示系统在所有应用程序启动时加载DLL。这种方法需要管理员权限。 需要注意的是,虽然DLL注入技术在某些情况下非常有用,但它也可以被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值