欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

DLL注入方法——使用注册表注入DLL

来源:转载 作者:佚名 时间:2010-05-20 TAG: 我要投稿

姬良

从今天开始简单的在博客整理一下以前的私人文章,算是多年之前学习编程时记下的笔记吧。方法讲解完毕后会给大家简单分析一下该方法的优劣。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\

AppInit_DLLs是一个REG_SZ类型,在这里写入一个DLL的文件名或是一组DLL的文件名。如果写入的是一组DLL文件名,那么中间要用逗号或者是空格分隔。由于在这里使用空格分隔文件名,因此一定要避免在DLL文件名中包含空格。第一个DLL的文件名可以包含路径,但其他DLL包含的路径则将被忽略。因此应该将多个DLL放到Windows系统目录为妙,这样就不必指定路径了。为了能够让系统使用这个注册表项,还需要一个名为LoadAppInit_Dlls的REG_DWORD类型的注册表项,并将其值设置为1,如图所示。

当User32.dll被映射到一个新的进程时,会收到DLL_PROCESS_ATTACH通知。当User32.dll对它进行处理的时候,会取得上述注册表键值,并调用LoadLibrary来载入这个字符串中指定的每个DLL。当系统载入每个DLL的时候,会调用它们的DllMain函数并将参数fdwReason的值设为DLL_PROCESS_ATTACH,这样每个DLL就能够对自己进行初始化。由于被注入的DLL是在进程的生命期的早期被载入的,因此我们在调用函数的时候应该慎重。调用Kernel32.dll中的函数应该没有问题,但是调用其他DLL中的函数可能会导致问题,甚至可能会导致蓝屏。User32.dll不会检查每个DLL载入或是初始化是否成功。

下面说说这个方法在免杀方面的情况。因为该方法使用范围很广(出现的比较早)。修改这个键值,360安全卫士会给予警报,360安全卫士的扫描也会发现危险。在微点主动防御上更是没有任何效果。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载