后门及持久化访问3---进程注入之AppInit_DLLs注册表项

一、介绍

AppInit_DLLs是一个注册表项，它可以指定在进程启动时需要载入的DLL文件，通常在系统启动时使用，但也可以在进程启动时使用。黑客可以利用这个注册表项实现进程注入，从而实现持久化访问。本文将详细介绍这种攻击方式的原理、使用方法和案例说明。

二、原理

AppInit_DLLs注册表项位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows，其中包含以下键值：

1. AppInit_DLLs：该键值包含需要在每个进程启动时载入的DLL文件路径，多个DLL文件之间以分号隔开。

2. LoadAppInit_DLLs：该键值指定是否载入AppInit_DLLs中列出的DLL文件。如果该键值的值为0，则不会载入。

黑客利用AppInit_DLLs注入的方法如下：

1. 注册一个DLL文件，该DLL文件包含关键代码，例如命令控制程序或信息窃取程序。

2. 在系统注册表中创建或修改AppInit_DLLs键值，添加DLL文件的路径，并将LoadAppInit_DLLs键值设置为1。

3. 当用户登录时，DLL文件将自动载入系统进程并运行。

4. DLL文件负责启动已注册的关键代码，从而实现进程注入。

三、使用方法

黑客可以手动修改注册表添加AppInit_DLLs键值，并将DLL文件路径添加到其中。也可以使用特殊软件生成恶意代码，向目标系统中添加非法AppInit_DLLs键值。

下面是手动添加AppInit_DLLs键值的步骤：

1. 打开注册表编辑器（regedit）。

2. 导航到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows。

3. 右键单击右侧窗格，选择新建字符串值。

4. 输入AppInit_DLLs作为键名。

5. 双击新创建的键值，并输入DLL文件的完整路径。

6. 点击确定，关闭注册表编辑器。

黑客可以使用特殊软件生成恶意代码，向目标系统中添加非法AppInit_DLLs键值。例如，可以使用Metasploit Framework生成恶意代码。

四、案例说明

1. Turla APT组织攻击

Turla APT组织是一个专门针对政府和军事机构的黑客组织。该组织在攻击中利用AppInit_DLLs注册表项实现进程注入，从而实现持久化访问。

Turla APT组织的攻击流程如下：

1. 攻击者通过钓鱼邮件等方式将恶意软件部署在目标系统上。

2. 恶意软件向AppInit_DLLs注册表项添加DLL文件路径，并将LoadAppInit_DLLs键值设置为1。

3. 恶意DLL文件启动关键代码，从而实现进程注入。

4. 攻击者利用进程注入将关键代码注册为服务，并实现持久化访问。

2. Carbanak恶意软件

Carbanak恶意软件是一种针对金融机构的恶意软件，利用AppInit_DLLs注册表项实现进程注入，从而实现持久化访问。

Carbanak恶意软件的攻击流程如下：

1. 攻击者通过钓鱼邮件等方式将恶意软件部署在目标系统上。

2. 恶意软件向AppInit_DLLs注册表项添加DLL文件路径，并将LoadAppInit_DLLs键值设置为1。

3. 恶意DLL文件启动关键代码，从而实现进程注入。

4. 攻击者利用进程注入将关键代码注册为服务，并实现持久化访问。

五、总结

利用AppInit_DLLs注册表项实现进程注入是一种常见的黑客攻击方式。黑客可以手动修改注册表添加AppInit_DLLs键值，并将DLL文件路径添加到其中，也可以使用特殊软件生成恶意代码，向目标系统中添加非法AppInit_DLLs键值。防止这种攻击，需要及时升级系统补丁，安装杀毒软件和防火墙，并定期检查系统注册表。 如果你喜欢我们三七知识分享网站的文章， 欢迎您分享或收藏知识分享网站文章 欢迎您到我们的网站逛逛喔！https://www.ynyuzhu.com/