今天对一个MD5 = bde591202f1d87ced03d134271d7fd3c的病毒样本进行分析得出一种通过改写注册表将dll注入到explore.exe的方法。
第一步:在local_machine/software/classes/clsid/下新建一个guid,如{68101905-XXX-xxx},再在其下新建子键InprocServer32,修改Default的data为:c:/windows/system32/Mydll.dll(要注入的DLL路径),再新建ThreadingModel,Data = Apartment.
第二步:在local_machine/software/microsoft/windows/currentversion/Explorer/ShellExecuteHooks下新建string value,命名为{68101905-XXX-xxx}(就是第一步中的guid)。data的值为空。
这样MyDll.dll就会在Explore.exe在启动时注入到其中。
dll注入的其他方法:
1 The CreateRemoteThread method
2 The SetWindowsHookEx method
3 The code cave method
参考:http://www.edgeofnowhere.cc/viewtopic.php?p=2483118
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 下的dll会被注入到调用过user32.dll的每个进程中。
参考:http://en.wikipedia.org/wiki/DLL_injection
扫一扫
到【灌水乐园】发言
