利用AppInit_Dlls注入在win10上的限制

已于 2023-10-07 15:08:40 修改
阅读量3.2k 收藏
点赞数
分类专栏: 调试器里看世界 文章标签: Windows 注入
于 2018-11-24 13:58:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43787608/article/details/84439171
版权

0x00

AppInit_Dlls注入方法特别简便,日常注入测试首选,在win7上屡试不爽,具体原理如下:

https://support.microsoft.com/en-us/help/197571/working-with-the-appinit-dlls-registry-value

docs.microsoft.com/en-us/windo…windows-7-and-windows-server-2008-r2

但是最近使用win10系统之后发现,注入方法失效。在检查过所有的配置都正确之后,决定使用调试器看看原因是啥。

0x01

调试堆栈如下,具体是怎么找到这里的,我提供三种方法做参考:

1、 从原理上来说,注入的dll是被user32加载的,用IDA打开user32检查下是否有函数名与AppInit_Dlls相关的函数;

2、 在低版本的系统上在DllMain 的 DLL_PROCESS_ATTACH 处理处下断点,检查调用堆栈;

我使用的是第三种方法,之前在StackOverflow找问题是偶然发现的_

在这里插入图片描述
IDA打开Kernel32.dll,看一下
LoadAppInitDllsImplementation。原因很简单,汇编见下图:
在这里插入图片描述
可以看到 对 0x67的Class进行
NtQuerySystemInformation后,检查ReturnLength与2相与,如果为0的话,不加载DLL直接返回。

Class 0x67在网络上很容易找到,这个链接的信息比较充足: https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ex/sysinfo/query.htm

显然,0x2为 CODEINTEGRITY_OPTION_TESTSIGN。这个标志可以在bcdedit中设置,命令为 bcdedit.exe –set testsigning
on,用于设置系统的test mode,在驱动开发中比较有用,这里就不深入讨论。

但是测试bcdedit设置参数,一直提示没有权限啥啥的,谷歌大法发现BIOS中有个 secure boot设置,只有disable之后才能使用bcdedit设置这个Flag。

一切跑过一次以后,dll顺利注入。

0x02

后续搜AppInit_Dlls发现msdn中一直挂着这个主题,只是被我忽略了。。。

https://docs.microsoft.com/en-us/windows/win32/dlls/secure-boot-and-appinit-dlls

文档说的挺对,Secure Boot对AppInit_Dlls的限制合情合理,而且是从WIN8开始就已经出现的特性。

应该是只菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
AppInit Win7 2008 x32 x64
07-06
4. **安全最佳实践**:遵循微软推荐的安全最佳实践,如限制AppInit_DLLs的使用,除非绝对必要。 这篇文档适用于Windows 7和Windows Server 2008 R2,提供了关于AppInit_DLLs在新系统环境下操作的详细信息。微软...
使用注册表Applint_DLLs的DLL注入
最新发布
m0_68653650的博客
01-11 519
软件逆向工程课程,仅限用于课程学习,切记不要用于其他用途哦!
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6745
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLsappinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
DLL注入练习之注册表主表-AppInit_DLLs表项
RickGray
06-04 5891
上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。 其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DLLs和LoadAppInit_DLLs的键值即可。 (User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。所有
DLL注入Appinit_Dlls
swanabin的专栏
03-18 6145
AppInit_DLLs is a mechanism that allows an arbitrary list of DLLs to be loaded into each user mode process on the system. Microsoft is modifying the AppInit DLLs facility in Windows 7 and Windows Serv
每天记录学习的新知识:AppInit
嗯...
09-16 1225
AppInit:Android 应用初始化框架
apps_init
星空探索
03-17 388
apps_init   /* one time setup */ void apps_init(void) {     const struct app_descriptor *app;    /* call all the init routines */     for (app = &__apps_start; app != &__apps_end; app++) {
Avanguard-master_library_Anti-Intrusion_win32_
10-04
injection techinques (against of CreateRemoteThread manual modules mapping injection through APC and AppInit_DLLs context switching)* Memory protection (kernel callbacks remapping)* Anti-splicing ...
Android代码-AppInit
08-06
AppInit 用于解决美团收银 B 端 App 在业务演进过程中的实际问题,取得了不错的效果,因此我们决定将其开源,希望更多技术同行一起开发,应用到更广泛的场景里去。 背景 随着业务的快速发展,新项目新业务不断出现,...
appInit:简单的网络应用程序
07-06
在IT行业中,网络应用程序是构建在互联网上的交互式软件,它们允许用户通过浏览器或特定的客户端应用程序进行数据交换和信息处理。"appInit:简单的网络应用程序"是一个专注于应用初始化过程的项目,它可能是用...
AppInit:AppInit是一款Android应用初始化框架,基于组件化的设计指南,功能灵活,使用简单
03-20
AppInit为解决美团收银B端App Init在解决方案中的实际问题,取得了不错的效果,因此我们决定将其开源,希望更多技术同行一起开发,应用到更广泛的场景里去。背景随着业务的快速发展,新项目新业务不断出现,以及...
Windows注册表基本管理配置
qq_30053489的博客
06-16 4406
一.注册表优化 注册表的优化分为几点: 1.系统安装是产生的无用信息 (1) 删除多余的时区 路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones 删除除了China Standard Time中国时区以外的其他时区 ​ (2)删除多余的语言 路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Lo...
特殊注册表键值"AppInit_Dlls"
weixin_33695450的博客
11-20 323
正常情况下它的值应该是空的。 这个项目表示每当一个程序启动的时候,appinit_dlls中的dll文件就会注入到该程序里面去启动。 举个例子:如果appinit_dlls=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。 如果被篡改,请按以下步骤操作: 1、打开注册表: 开始——运行——键入:REG...
想玩一个简单的注入??AppInit_DLLs注册表项注入它来了
KOOKNUT的博客
06-29 1612
之前介绍过一些Ring3层的注入方式,但那些都是需要用代码来实现注入,实现起来相对来说比较复杂。如果有兄弟想试一下注入的快感,又不想写复杂的程序,那么不妨可以玩玩注册表的注入方式。 不过这种注入方式有他的弊端,那就是注入的程序必须加载user32.dll,也就说通常是那些GUI程序才可以。原因是,每当启动一个GUI程序,他都会扫描注册表的AppInit_DLLs项,看看其中有没有制定的目标库,如果有,那就在程序运行时,首先主动加载该动态库,所以我们只需要将Dll完整路径写在这个位置,就可完成注入。值得一提的
关于自启动项AppInit_DLLs被修改为 kmon.dll的问题解释
移动开发专栏
09-19 1085
最近,由于瑞星卡卡助手的不断升级,用360IE修复或用System Repair Engineer扫描时会出现自启动项AppInit_DLLs被修改为 kmon.dll的提示问题提示为:警告!电脑中发现可疑病毒体 C:/WINDOWS/system32/kmon.dll 文件存在。实际上,这个文件是瑞星卡卡助手的文件,这个文件本身并不是病毒。它是防止U盘自动打开,并向U盘自动写入免疫文
Windows系统的dll注入
m0_68937036的博客
03-03 1602
Windows系统的dll注入
使用CreateRemoteThread进行Dll注入(Win7-x86\x64 Win10-x86\x64)
KOOKNUT的博客
05-12 1520
实现思路:
windows ALPC简单研究
weixin_43787608的博客
11-26 9053
0x00 本文是对ALPC的简单研究,由于时间有限,还有很多细节没有搞清楚,还有很多疏漏。希望能起到抛砖引玉的作用,能找到高手讨论学习。 ALPC(Advanced/Asynchronous Local Procedure Call),是微软发展出来替代LPC,用于本机RPC的一种C/S模型技术。但是对用户来说,能看到只有RPC概念,很少能看到ALPC。 我们看一个典型的ALPC同步调用堆栈: ...
windowsDLL注入
05-21
DLL注入是一种常见的技术,在Windows平台上使用动态链接库(DLL)将代码注入到另一个进程的地址空间中。这种技术通常用于实现Hook、调试、反作弊和恶意软件等目的。 在Windows系统中,有很多方法可以进行DLL注入,其中最常见的包括以下几种: 1. 远程线程注入:通过创建远程线程并在其中加载DLL来实现注入。这种方法需要目标进程具有足够的权限。 2. 进程注入:通过向目标进程注入一个DLL,然后在该DLL中执行代码来实现注入。这种方法通常需要管理员权限。 3. 注册表注入:通过修改注册表来指示系统在启动时加载DLL。这种方法需要管理员权限。 4. 应用程序扩展(AppInit_DLLs注入:通过修改注册表中的AppInit_DLLs键来指示系统在所有应用程序启动时加载DLL。这种方法需要管理员权限。 需要注意的是,虽然DLL注入技术在某些情况下非常有用,但它也可以被恶意软件利用来执行恶意代码。因此,在使用DLL注入时,必须采取适当的安全措施以确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值