本文介绍了如何通过修改注册表项AppInit_DLLs实现DLL注入,包括恶意修改实例及微软官方解释。
在以下注册表项中找到 AppInit_DLLs 值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
默认值为空!
一种***可能用到的方法!
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式***的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。
最近发现此值被改为273100M.BMP的情况!而且在正常模式下无法删除!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="273100M.BMP"
"AppInit_DLLs"="273100M.BMP"
关于appinit_dlls的微软官方的信息:
2007-09-03 添加:
今又发现一加载项如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="qjhpri.dll"
"AppInit_DLLs"="qjhpri.dll"
转载于:https://blog.51cto.com/itcnjd/35686
扫一扫
1948
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
