注入(1)--注册表注入

最新推荐文章于 2021-12-11 21:52:24 发布
最新推荐文章于 2021-12-11 21:52:24 发布
阅读量160 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/Toring/p/6628283.html
版权

在Windows NT/2000/XP/3000操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\CurrentVresion\Windows\AppInit_Dlls下边列出的所有模块,所以,可以将外挂模块写在AppInit_Dlls键下,待程序启动后,再将痕迹清除
注:系统需要重启后才能实现

// Reginject.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>

#define DSTKEY "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
BOOL RegInject(char* DllFullPath);
int _tmain(int argc, _TCHAR* argv[])
{
	char DllFullPath[MAX_PATH] = "D:\\Hook.dll";
	BOOL bOk = RegInject(DllFullPath);
	if (bOk)
	{
		printf("/n Registry inject success!\n");
	}
	else
	{
		printf("/n Registry inject fail!\n");
	}
	getchar();
	getchar();
	return 0;
}


//
//利用AppInit_Dlls键值会被user32.dll调用LoadLibrary所加载
//
BOOL RegInject(char* DllFullPath)
{

	BOOL bOk = FALSE; 
	HKEY hKey = NULL;
	LONG Return;
	BYTE cDllPath[MAX_PATH] = {0};


	OutputDebugString("[!] RegInject Enter...");
	Return = RegOpenKeyEx(
		HKEY_LOCAL_MACHINE, 
		DSTKEY, 
		0, 
		KEY_ALL_ACCESS,
		&hKey);

	if(Return != ERROR_SUCCESS)
	{
		OutputDebugString("[-] RegOpenKeyEx Error!\n");
		goto Exit;
	}

	memcpy((void*)cDllPath, DllFullPath, strlen(DllFullPath)+1);

	Return = RegSetValueEx(
		hKey,
		"AppInit_DLLs",
		0,
		REG_SZ,
		cDllPath,
		strlen((char*)cDllPath)+1
		);

	if(Return != ERROR_SUCCESS)
	{
		OutputDebugString("[-] RegSetKeyValue Error!\n");
		goto Exit;
	}

	OutputDebugString("[!] RegInject Exit...");
	bOk = TRUE;
Exit:
	if(hKey)
		RegCloseKey(hKey);
	return bOk;

}


转载于:https://www.cnblogs.com/Toring/p/6628283.html

weixin_34409741
关注
一、C++反作弊对抗实战 (基础篇 —— 2.注册表注入DLL)
Koma的主页
03-02 767
在Windows NT/XP操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_dlls下面列出的所有模块。
红队免杀必会-进程注入--注册表-全局钩
Gamma_lab的博客
03-12 4423
前言 ​ 进程注入 ,简而言之就是将代码注入到另一个进程中,跨进程内存注入,即攻击者将其代码隐藏在合法进程中,长期以来一直被用作逃避检测的手段. ​ 进程的注入方式可以分为DLL注入和shellcode注入,这两种方式本质上没有区别,在操作系统层面上,dll也就是shellcode的汇编代码。 代码框架 ​ 想法是尽量用一个通用的注入框架,有异常接收,令牌权限开启,获取进程PID的功能,只需要在main函数中调用不同的注入方式: #include "public.h" int main() { DWORD
注册表注入
01-01 104
比较简单,就是往同一个路径的两个注册表键值写入你的东西,没啥实用性,不过测试DLL时可以用一下 void CInjectDemoDlg::OnBnClickedBtnReg() { WCHAR szSubKey[] = L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"; TCHAR szDa...
注入系列:注册表注入
weixin_43742894的博客
03-22 1513
0x00 概述 注册表注入,是一种比较简单的注入,主要依赖于俩个表项,AppInit_Dlls和LoadAppInit_DLLs。AppInit_Dlls写入dll完整路径,LoadAppInit_DLLs写为1,重启后,指定DLL会注入到所有运行进程。 0x01 实现原理 User32.dll在被加载到进程时,会读取AppInit_Dlls表项。若有值,并调用LoadLibrary来载入这个字符...
用户层注入:(2)注册表注入
weixin_43972499的博客
03-12 347
目录基本概念注入原理实现过程参考代码局限性 基本概念   我们知道,注册表是一个集中管理硬件、软件配置信息的数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及应用程序的运行,并记录了各种硬件和软件的配置信息。注册表注入,顾名思义,就是将我们的想要进行的操作写入到注册表的配置信息里,通过系统加载我们的动态库完成注入注入原理   当应用程序被加载时,应用程序会将User32.dll这一动态库映射到进程空间内,这时会触发User32动态库的DllMain函数中的DLL_PROC
易语言 注入源码 大全 远程线程注入 消息钩子注入 输入法注入 注册表注入 IAT永久注入 进程暂停注入 apc注入
最新发布
11-20
在提供的压缩包文件中,"注入.e"很可能是易语言编写的一个或多个源代码示例,涉及到多种注入技术,包括远程线程注入、消息钩子注入、输入法注入注册表注入以及IAT(Import Address Table)永久注入和进程暂停注入...
X86驱动注入源码-易语言
06-11
1. **驱动程序开发**:驱动程序是操作系统与硬件设备之间的桥梁,它们是系统级的软件,直接运行在内核模式下。对于X86架构,驱动程序一般遵循Windows Driver Model (WDM) 或者Kernel-Mode Driver Framework (KMDF)。...
通用DLL注入器-易语言
06-12
各种主流基本的注入操作集合 包含: 1、远程线程注入 2、消息钩子注入 3、输入法注入 4、注册表注入 5、EIP注入 6、APC注入(R3) 7、内存注入 8、IAT永久注入 9、内存永久注入
注册表导取Windows-hash方法-到-远程HASH注入.docx
10-10
注册表导取Windows-hash方法-到-远程HASH注入.docx
注册表注入USB启用reg文件
12-28
注册表注入USB禁用reg文件禁用后想恢复USB端口使用的,请下载这里的注册表注入USB启用reg文件
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入的 DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入的dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入的dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
HOOK注册表.rar
04-05
HOOK注册表.rar
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
DLL注入注册表注入
u013267687的专栏
05-07 1785
我的原博客位置:http://halfofpoetry.github.io/2020/05/07/DLL%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%B3%A8%E5%85%A5/ 注册表注入DLL 顾名思义,就是通过注册表的方式,把需要的执行的代码片段,注入到目标程序中,使目标程序执行指定的代码片段,从而达到预期效果。 该...
动态库注入--注册表注入
weixin_38168547的博客
04-08 104
利用注册表注入就是在特定的键值下写入动态库的路径, SOFTWARE\\Microsoft\\Windows\ NT\\CurrentVersion\\Windows REG注入原理是利用在Windows 系统中,当REG以下键值中存在有DLL文件路径时,会跟随EXE文件的启动加载这个DLL文件路径中的DLL文件。当如果遇到有多个DLL文件时,需要用逗号或者空格隔开多个...
注入技术之注册表注入
whs100505的博客
02-09 449
注册表注入 原理:当需要加载User32.dll的应用启动时,User32.dll会加载HKEY_LOCAL_MACHINE\SoftWare\MicroSoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls键下的模块 #include <Windows.h> #include <string> #include <tc...
简单注册表注入DLL
m0_46377671的博客
12-11 1660
注册表路径: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 此注册表注入是一种很简单的注入手法,主要依赖于两个表项AppInit_DLLs和LoadAppInit_DLLs,前者写入dll完整路径,后者值写为1。User32.dll在被加载到内存的时候,会读取AppInit_Dlls的值,如果有值,则通过LoadLibrary来加载dll。 利用vc生成简单dll // 注册表注入DLL.cpp :
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值