利用注册表来注入DLL

最新推荐文章于 2024-04-17 11:43:27 发布
最新推荐文章于 2024-04-17 11:43:27 发布
阅读量5.4k 收藏 2
点赞数
分类专栏: 学习总结 文章标签: dll windows user hook microsoft 安全相关

    关键字:注册表,DLL,注入.

    关键函数:无.

系统安全:特殊注册表键值"AppInit_Dlls"

 
发布时间:2008.07.04 04:43     来源:赛迪网    作者:smallfrogs

【赛迪网-IT技术报道】如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。

AppInit_Dlls键值位于注册表 HKLM/Microsoft/Windows NT/CurrentVersion/Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用 LoadLibrary。

验证方法有很多,最容易想到的就是使用调试器,在LoadLibrary调用的时候下断点,你会发现User32.DLL读取了这个键值并且使用了LoadLibrary去调用这个键值指向的DLL文件。一个更好的方法就是看看 KB197571 的介绍了。

AppInit_Dlls的键值是一个非常危险的键值,从某种程度上来说,这是一个Windows最容易被人利用的漏洞,因为只要有任何的恶意软件在这里进行了修改,那么就意味着任何使用到User32.DLL的进程都会被AppInit_DLLs指向的DLL所注入。因为进程内部的DLL是共享整个进程空间的,因此意味着进程里面的DLL是可以控制整个进程的行为的。由于User32.DLL是一个非常非常通用的DLL,它提供了大多数Win32用户界面、消息相关的功能,只有极少数的程序不会使用User32.DLL,因此一旦有恶意软件修改了AppInit_Dlls键值,那么整个系统都有可能处于非常危险的状态。

众所周知,Windows服务程序的启动时机是可以非常早的,往往在用户登录之前就完成启动了,而这个时候最常见的Run键值还不一定被处理完,而且Windows服务程序拥有相当高的权限(默认是Local System,可以对系统里面所有的资源进行操作),因此如果一个恶意软件被加载到Windows服务里面,那么是会非常危险的。前文提到,任何进程使用了User32.DLL,都会对AppInit_Dlls键值指向的DLL进行加载,如果是一个Windows服务程序,也不例外!

由于AppInit_Dlls是一种系统全局性的Hook(system-wide hook),要规避此类的Hook的确很困难,虽然使用驱动程序进行保护能够规避此类问题,但也不是非要使用驱动程序进行处理的。前文说过,只有当使用到User32.DLL这个模块的时候才会触发读取AppInit_Dlls指向的DLL,如果不使用User32.DLL,那么AppInit_Dlls是不会被使用到的。但是要让一个程序不使用User32.DLL会变得非常困难(命令行窗口没有使用User32.DLL),因为任何的窗口、消息都和这个模块有关,为了保证有良好的用户体验,100%的窗口程序都和这个模块有关。从开发角度来说,最好的一种解决办法就是将程序功能逻辑和界面逻辑完全分离,功能逻辑模块负责功能,界面逻辑模块负责界面显示,2者之间采用IPC机制进行交互,功能逻辑模块不依靠User32.DLL,,而且作为独立进程进行处理,这样就可以规避AppInit_Dlls造成的Hook了。

类似的Windows安全相关的缺陷点其实还有很多的,这些缺陷点的来源是为了保证向下的兼容性。相信MIcrosoft已经发现并正在修补这些地方,从Windows Vista上可以看到,AppInit_Dlls的键值在Windows Vista上是不起作用的,因此在Windows Vista里面,这个键值已经被抛弃了(改用另外一个键值执行类似的功能,但是增加了基于UAC的安全防护)。

(责任编辑:董建伟)

 

补充:

1.在这个键值中填写的第一个DLL可以包含路径,但其他DLL的路径会被忽略,因此我们最好将自己的DLL放到Windows的系统目录中.

2.Windows核心编程(第3版)中说必须创建一个名为LoadAppInit_Dlls的注册表项,类型为DWORD,值为1.但我在自己写的小例子中并没有添加这个表项,结果也是OK的.不知道为什么.

3.这个表项可以包含多个DLL,但是每个DLL之前必须用空格或逗号隔开,因此我们自己的DLL名称尽量不要有空格.

4.用注册表注入DLL的方式有很大的局限性,Kernel32.dll和Ntdll.dll中有的函数才能调用.具体有哪些函数可以通过Depends工具来查看.

说句题外话,我的机器安装了卡巴斯基,这个表项就有了下面的值:

C:/PROGRA~1/KASPER~1/KASPER~1/mzvkbd.dll,C:/PROGRA~1/KASPER~1/KASPER~1/mzvkbd3.dll

这说明,卡巴斯基用来监控其他程序主要就是靠的这两个DLL.

yulanarti
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程注入的研究与实现1
08-08
进程注入的方法分类如下:    带DLL注入        利用注册表注入        利用Windows Hooks注入        利用远程线程注入 
Windows x86/ x64 Ring3层注入Dll总结
01-10
0x01.前言   提到Dll注入,立马能够想到的方法就有很多,比如利用远程线程、Apc等等,这里我对Ring3层的Dll注入学习做一个总结吧。   我把注入的方法分成六类,分别是:1.创建新线程、2.设置线程上下背景文,修改寄存器、3.插入Apc队列、4.修改注册表、5.挂钩窗口消息、6.远程手动实现LoadLibrary。   那么下面就开始学习之旅吧! 0x02.预备工作   在涉及到注入的程序中,提升程序的权限自然是必不可少的,这里我提供了两个封装的函数,都可以用于提权。第一个是通过权限令牌来调整权限;第二个是通过ntdll.dll的导出的未文档化函数RtlAdjustPrivile
Dll注入注册表注入
weixin_30649641的博客
03-13 241
在系统中每一个进程加载User32.dll时,会受到DLL_PROCESS_ATTACH通知,当User32.dll对其进行处理时,会取得注册表键值HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\CurrentVresion\Windows\AppInit_Dlls,并调用LoadLibrary来载入这个字符串中指定的每个DLL。被调用的DLL会在系...
DLL注入——使用注册表
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 3659
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表windows+R键,输入regedit。
Windows编程那些事----插入dll和挂接API
zhangyuanlovelife的专栏
09-11 837
dll
Windows系统的dll注入
m0_68937036的博客
03-03 1463
Windows系统的dll注入
游戏逆向_DLL注入技术
douluo998的博客
04-09 3306
DLL注入技术: 是将一个Dll文件强行加载到目标进程中,比如把外挂dll模块注入到游戏进程,这样做的目的在于方便我们通过这个DLL读写目标进程指令或内存数据,(例如 HOOK游戏函数过程或篡改游戏内存数据实现外挂功能),或以被注入进程的身份去执行一些操作等。全系统注入的优点:利用系统机制实现的全系统进程注入,可绕过比如游戏进程自身的防注入保护机制。比如远线程注入游戏可能会被拦截,但输入法注入,游戏很难拦截。
DLL 注入的三种方法详解
weixin_51409218的博客
02-27 3514
DLL注入的三种方式
简单注册表注入DLL
m0_46377671的博客
12-11 1573
注册表路径: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows注册表注入是一种很简单的注入手法,主要依赖于两个表项AppInit_DLLs和LoadAppInit_DLLs,前者写入dll完整路径,后者值写为1。User32.dll在被加载到内存的时候,会读取AppInit_Dlls的值,如果有值,则通过LoadLibrary来加载dll利用vc生成简单dll // 注册表注入DLL.cpp :
Dll注入技术之注册表注入
ProgrammingRing的专栏
02-06 6633
DLL注入技术之REG注入     DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。     REG注入原理是利用Windows 系统中,当REG以下键值中存在有DLL文件路径时,会跟随EXE文件的启动加载这
永久注入内存中的DLL(无声)
06-06
资源介绍:。永久注入内存中的DLL。百度、论坛上已经有很多修改EXE输入表来用久注入DLL的了。但这样做就必须放置一个DLL在EXE文件的目录下 看起来不顺眼。而且万一被删了就无法运行了。今天无聊 我来给大家讲一下怎么修改EXE 使你的DLL与EXE融为一体。实现永久内存加载 这是前不久我发现的一种方法。使用的工具:。C32Asm。Ollydbg。LordPE。加区段工具Zeroadd。OC(偏移量转换器)。这几个东西网上都有 大家应该也都有 我就不打包了。要不然文件太大了 没有的自己去搜吧。////////////////////////////////////////////////////////////。////////////////////////////////////////////////////////////。我们以修改腾讯TT为例 其他大家举一反三 首先 我们先用黑月写一个测试DLL。好了这个就是我们的测试DLL 然后将它导入我修改后的PELoader中,当然 我可以略过这一步,因为我是用黑月写的 如果你的DLL是用易语言静态或普通编译而成的就不能略过这一步。好
如何用C#实现自动注册DLL文件
05-15
C#有关技术资料,这里可以在C#中,实现帮助你注册DLL文件,而不用在注册表里面进行注册。
DLL各种注入方法收集
11-08
DLL各种注入方法收集
slui-file-handler-hijack-privilege-escalation:Slui文件处理程序劫持UAC绕过本地特权升级
05-25
这种漏洞利用通常独立于编程语言和位数,因为不需要DLL注入或特权文件复制。 另外,如果默认系统二进制文件足够,则可以完全避免文件丢失。 预期结果 当一切正常工作时,应以较高的IL生成一个cmd.exe。 资料下载 ...
QQ病毒木马专杀工具(QQKav) 2012 元旦版.zip
07-14
通过注入查杀,彻底围剿DLL注入型病毒木马。 2.进程管理:许多恶意软件为了欺骗用户,将自己伪装成正常的系统进程。进程管理可以帮助用户认识和管理系统的进程。可以对进程加载的模块进行注销及粉碎等操作。表示非...
冰舞2.6 ASP网站漏洞扫描工具
09-21
我记性不好,所以把常用的注入代码记录下来,有点乱,但对我来说,还算很有用,希望大家也会喜欢! //看看是什么权限的 and 1=(Select IS_MEMBER('db_owner')) And char(124)%2BCast(IS_MEMBER('db_owner') as ...
完美解决多种情况下的 java.lang.NullPointerException 的异常
最新发布
念兮为美
04-17 236
完美解决多种情况下的 java.lang.NullPointerException 的异常
34、链表-合并K个升序链表
qq_29434541的博客
04-16 385
3、第三中思路就比较巧妙了,可以使用小根堆,每次弹出堆顶,最小值,然后弹出后当前链表指向下一个节点,再压入堆中。1、直接全部放入集合中,然后排序,在进行构造节点返回。2、使用归并排序的方式,两两排序合并,最后合并大的。
Fatal error in launcher: Unable to create process using【解决方案】
qq_27480007的博客
04-16 234
Fatal error in launcher: Unable to create process using【解决方案】
利用注册表配置wsus客户端不生效
01-17
利用注册表配置WSUS客户端后发现不生效的原因可能有以下几点: 首先,需要确认注册表中的配置项是否正确。可能是注册表中的某些配置项设置错误导致WSUS客户端无法正常连接到WSUS服务器。可以通过检查注册表中的配置项,确认是否设置正确。 其次,需要检查WSUS服务器的连接是否正常。可能是WSUS服务器的连接出现了问题,导致WSUS客户端无法正常连接到服务器。可以尝试使用其他设备或者工具测试连接WSUS服务器是否正常。 另外,还需要确认网络环境是否正常。可能是网络环境出现了问题,导致WSUS客户端无法正常连接到WSUS服务器。可以通过检查网络设备、网络连接等来确认网络环境是否正常。 最后,如果以上方法都无法解决问题,可以尝试重新配置WSUS客户端。可能是之前的配置出现了问题,导致WSUS客户端无法正常工作。重新配置WSUS客户端可能会解决这个问题。 综上所述,当利用注册表配置WSUS客户端不生效时,可以通过确认注册表配置是否正确、检查WSUS服务器的连接是否正常、确认网络环境是否正常以及尝试重新配置WSUS客户端等方法来解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值