逆向工程核心原理之第23章之注册表注入

注意3点

1.最新的系统默认是不能注入的,因为bios启动的时候有个保护标志位,Secure Boot 需要disable

2.然后设置testsigning的标志位开启
bcdedit.exe /set testsigning on

bcdedit.exe /set testsigning off
bcdedit.exe /deletevalue testsigning

可以使用如下命令查看设置情况
bcdedit.exe /v


3注册表的位置
32位 这里注入的是32位的dll
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs D:\myhack2.dll (这个是32位的dll)
LoadAppInit_DLLs 1

64位 这里注入的是64位的dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs D:\64\myhack2.dll(这个是64位的dll)
LoadAppInit_DLLs 1

重启机器,可以看到注入的32位和64位dll,分别对应到不同版本的启动程序中,32到32,64到64.

 

posted on 2022-03-28 19:49  子虚乌有  阅读(140)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 子虚乌有
Powered by .NET 9.0 on Kubernetes