病毒分析得出:Dll注入的另一种方式
来源:互联网 发布:java自动获取网页数据 编辑:程序博客网 时间:2024/04/29 12:45
今天对一个MD5 = bde591202f1d87ced03d134271d7fd3c的病毒样本进行分析得出一种通过改写注册表将dll注入到explore.exe的方法。
第一步:在local_machine/software/classes/clsid/下新建一个guid,如{68101905-XXX-xxx},再在其下新建子键InprocServer32,修改Default的data为:c:/windows/system32/Mydll.dll(要注入的DLL路径),再新建ThreadingModel,Data = Apartment.
第二步:在local_machine/software/microsoft/windows/currentversion/Explorer/ShellExecuteHooks下新建string value,命名为{68101905-XXX-xxx}(就是第一步中的guid)。data的值为空。
这样MyDll.dll就会在Explore.exe在启动时注入到其中。
dll注入的其他方法:
1 The CreateRemoteThread method
2 The SetWindowsHookEx method
3 The code cave method
参考:http://www.edgeofnowhere.cc/viewtopic.php?p=2483118
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
下的dll会被注入到调用过user32.dll的每个进程中。
参考:http://en.wikipedia.org/wiki/DLL_injection
- 病毒分析得出:Dll注入的另一种方式
- 实现DLL注入的另一种方法
- 实现DLL注入的另一种方法
- 实现DLL注入的另一种方法
- kab12.dll 病毒的分析
- dll注入的一种方式
- 一个lpk.dll病毒的分析报告
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 揭开病毒的奥秘 DLL的远程注入技术详解
- 转载:病毒编程奥秘:DLL的远程注入技术详解
- Java基础---“接口”实现时的另一种方式。通过Java JDK API 1.6.0文档实例发现并得出结论
- dll病毒分析(一)
- 用dll注入的方式隐藏进程
- java TCP/IP Socket编程(1.3版)
- js查看网页源码 直接在浏览器输入
- MiniGui体系结构之一
- ASP.NET编程的十大技巧
- MiniGUI体系结构之二
- 病毒分析得出:Dll注入的另一种方式
- GNU Make手册阅读笔记(1)-- 第一章和第二章
- 男人和他的天使
- 在Visual Studio中集成使用 Qt Opensource 版本 ||| 在 QtCreator 使用 VC 编译调试
- filelastmy
- 在RDLC中使用外部图片
- 房东家的黑仔
- 给我信心得一句话
- QTextCodec Class 参考手册