用户层注入:(2)注册表注入

最新推荐文章于 2025-10-28 19:38:26 发布
原创 最新推荐文章于 2025-10-28 19:38:26 发布 · 469 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #c++ #安全 #操作系统 #依赖注入

目录

基本概念

  我们知道,注册表是一个集中管理硬件、软件配置信息的数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及应用程序的运行,并记录了各种硬件和软件的配置信息。注册表注入,顾名思义,就是将我们的想要进行的操作写入到注册表的配置信息里,通过系统加载我们的动态库完成注入。

注入原理

  当应用程序被加载时,会将User32.dll映射到进程空间内,这时会触发User32动态库的DllMain函数中的DLL_PROCESS_ATTACH,进而查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows目录下的AppInit_DLLs是否存在需要加载的动态库路径,同时查看LoadAppInit_DLLs的值是否为1。如果为1,那么将根据路径加载所有的动态库。至此,就完成了注册表的注入。

实现过程

  ①调用RegOpenKeyEx函数,传入主键HKEY_LOCAL_MACHINE和子键的路径,打开注册表。

LSTATUS APIENTRY RegOpenKeyExW(
    _In_ HKEY hKey,					//主键
    _In_opt_ LPCWSTR lpSubKey,		//子键
    _In_opt_ DWORD ulOptions,		//选项
    _In_ REGSAM samDesired,			//权限
    _Out_ PHKEY phkResult			//返回值句柄
    );

  ②调用RegSetValueEx设置AppInit_DLLs的值为我们的动态库路径,LoadAppInit_DLLs的值为1,表示我们希望在User32.dll被加载时加载我们的动态库。

LSTATUS APIENTRY RegSetValueExW(
    _In_ HKEY hKey,					//返回的句柄值
    _In_opt_ LPCWSTR lpValueName,	//键名
    _Reserved_ DWORD Reserved,		
    _In_ DWORD dwType,
最低0.47元/天 解锁文章
一、C++反作弊对抗实战 (基础篇 —— 2.注册表注入DLL)
Koma的主页
03-02 1004
Windows NT/XP操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_dlls下面列出的所有模块。
DLL注入:使用注册表进行DLL注入
I have a dream
10-24 4389
实验原理 (1)在注册表编辑器中,将要注入的DLL的路径字符串入AppInt_DLLs项目,把LoadAppInit_DLL的项目值设为1。重启后,指定DLL会注入所有运行的进程。 (2)其实是,user32.dll被加载到进程时,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary加载用户DLL。因此严格讲,该DLL只是被加载到加载user32.dll的进程。 (3)注...
Windows Ring3注入——注册表注入(五)
qq_38493448的博客
01-16 483
Windows Ring3注入——注册表注入(五)注册表注入原理注册表注入函数原型注册表注入步骤:注册表注入优缺点优点:缺点: 注册表注入原理 在Windows NT/2000/XP/2003操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\A...
‌DLL注入的三种经典方式:易语言代码实现对比
最新发布
2501_93877867的博客
10-28 849
远程线程注入:适合快速测试或临时注入,但需规避安全软件。APC注入:适合高效、针对性强的场景,但需确保目标线程可警报。注册表注入:适合持久化需求,但应谨慎使用,避免系统不稳定。通用提示:在易语言开发中,优先测试注入代码的健壮性(如错误处理),并遵守法律法规。实际应用时,结合进程权限和场景需求选择方式。
注入(1)--注册表注入
weixin_34409741的博客
10-02 217
Windows NT/2000/XP/3000操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\CurrentVresion\Windows\AppInit_Dlls下边列出的所有模块,所以,可以将外挂模块在AppInit_Dlls键下,待程序启动后,再将痕...
注册表注入
Lyntion的Blog
10-02 2018
Windows NT/2000/XP/2003中,有一个注册表键值: HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsHKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs。当某个进程加载User32.dll时,这里面列出的所有的DLL都将U
精选资源
易语言 注入源码 大全 远程线程注入 消息钩子注入 输入法注入 注册表注入 IAT永久注入 进程暂停注入 apc注入
11-20
在提供的压缩包文件中,"注入.e"很可能是易语言编的一个或多个源代码示例,涉及到多种注入技术,包括远程线程注入、消息钩子注入、输入法注入注册表注入以及IAT(Import Address Table)永久注入和进程暂停注入...
Registry Workshop: 高级注册表编辑器提升管理效率
5. **删除木马、病毒注册表项**:这指的是Registry Workshop可以被用于清除那些由恶意软件(如木马和病毒)注入或修改的注册表项,帮助用户清理系统。 6. **系统管理员管理工具**:系统管理员可以使用该工具为多个...
进程注入技术详解:DLL注入注册表、Hook方法
2. 利用注册表注入Windows系统中,AppInit_DLLs注册表项允许指定的DLL在特定进程启动时自动加载。将包含注入代码的DLL添加到这个注册表键下,当目标进程使用User32.dll时,注入的DLL也会被加载。以下是一个简单的...
注入系列:注册表注入
weixin_43742894的博客
03-22 1709
0x00 概述 注册表注入,是一种比较简单的注入,主要依赖于俩个表项,AppInit_Dlls和LoadAppInit_DLLs。AppInit_Dlls入dll完整路径,LoadAppInit_DLLs为1,重启后,指定DLL会注入到所有运行进程。 0x01 实现原理 User32.dll在被加载到进程时,会读取AppInit_Dlls表项。若有值,并调用LoadLibrary来载入这个字符...
注册表注入USB启用reg文件
12-28
注册表注入USB禁用reg文件禁用后想恢复USB端口使用的,请下载这里的注册表注入USB启用reg文件
支持所有window所有平台的钩子注入应用
10-09
winxp、win2003、vista、win7、win8 平台的32位和64位进程的钩子注入(已经应用在产品中)需要的朋友请下载。
注入技术之注册表注入
whs100505的博客
02-09 527
注册表注入 原理:当需要加载User32.dll的应用启动时,User32.dll会加载HKEY_LOCAL_MACHINE\SoftWare\MicroSoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls键下的模块 #include <Windows.h> #include <string> #include <tc...
DLL注入注册表注入
u013267687的专栏
05-07 2056
我的原博客位置:http://halfofpoetry.github.io/2020/05/07/DLL%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%B3%A8%E5%85%A5/ 注册表注入DLL 顾名思义,就是通过注册表的方式,把需要的执行的代码片段,注入到目标程序中,使目标程序执行指定的代码片段,从而达到预期效果。 该...
动态库注入--注册表注入
weixin_38168547的博客
04-08 160
利用注册表注入就是在特定的键值下入动态库的路径, SOFTWARE\\Microsoft\\Windows\ NT\\CurrentVersion\\Windows REG注入原理是利用在Windows 系统中,当REG以下键值中存在有DLL文件路径时,会跟随EXE文件的启动加载这个DLL文件路径中的DLL文件。当如果遇到有多个DLL文件时,需要用逗号或者空格隔开多个...
简单注册表注入DLL
m0_46377671的博客
12-11 1983
注册表路径: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows注册表注入是一种很简单的注入手法,主要依赖于两个表项AppInit_DLLs和LoadAppInit_DLLs,前者入dll完整路径,后者值为1。User32.dll在被加载到内存的时候,会读取AppInit_Dlls的值,如果有值,则通过LoadLibrary来加载dll。 利用vc生成简单dll // 注册表注入DLL.cpp :
DLL注入——使用注册表
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 5263
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入的dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32程序读取)//32位系统查看注册表windows+R键,输入regedit。
DLL注入注册表操作源码分析及实现
根据所提供的文件信息,标题为“dll注入源码”,描述中明确指出该资源包含DLL注入的实现代码,并结合注册表访问功能,提供了完整的源码示例和测试程序结构。从技术角度看,这一整套内容涵盖了Windows编程中的多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值