首页
社区
课程
招聘
[翻译]自启动方式 No.93(大意)
发表于: 2018-11-24 20:09 5778

[翻译]自启动方式 No.93(大意)

2018-11-24 20:09
5778

        声明:本文及其软件仅用于学习交流,请勿用于商业用途和违法行为,使用产生的后果由使用者承担,本作者不承担任何法律责任和风险。

如需转载请注明一下出处,谢谢~。

        经过我之前对kernel32.dll的多次分析,我很惊讶地发现了这个启动方式。我看到一个代码分支(之前没有讨论过这个分支)负责枚举注册表子键并加载dll,这是一件非常难得的事情。

        实际代码驻留在NotifyUILanguageChange API中。尽管MS声称它不受支持,但仍有许多组件使用它。它撤销的可能性很低。据我所知,该函数被调用 只有当某些系统设置被改变的时候,该函数就会被调用 ,我将立即向你们展示如何触发他。

HKLM\System\CurrentControlSet\Control\MUI\CallbackDlls\{ENTRY}\DllPath=<DLL>

        这当然不是最好的驻留机制,但也是另一个值得关注的地方,以防万一……

HKLM\System\CurrentControlSet\Control\MUI\CallbackDlls\{ENTRY}\DllPath=<DLL>

        在Windows 7,我们可以看到若干项:
 
        Windows 10更多,我真的怀疑这段代码正要撤销。(原文这句话可能存在错误,与上文不符。也可能是本人翻译错误。)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2018-11-24 20:10 被yyyang编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (3)
雪    币: 6112
活跃值: (1212)
能力值: (RANK:30 )
在线值:
发帖
回帖
粉丝
2
感谢分享!
2018-11-26 11:27
0
雪    币: 9941
活跃值: (2163)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
够细心 , 这种方法都可以发掘
2018-12-16 10:38
0
雪    币: 965
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢分享! 
2018-12-17 06:31
0
游客
登录 | 注册 方可回帖
返回
//