-
-
[翻译]自启动方式 No.93(大意)
-
发表于:
2018-11-24 20:09
5724
-
声明:本文及其软件仅用于学习交流,请勿用于商业用途和违法行为,使用产生的后果由使用者承担,本作者不承担任何法律责任和风险。
如需转载请注明一下出处,谢谢~。
经过我之前对kernel32.dll的多次分析,我很惊讶地发现了这个启动方式。我看到一个代码分支(之前没有讨论过这个分支)负责枚举注册表子键并加载dll,这是一件非常难得的事情。
实际代码驻留在NotifyUILanguageChange API中。尽管MS声称它不受支持,但仍有许多组件使用它。它撤销的可能性很低。据我所知,该函数被调用
只有当某些系统设置被改变的时候,该函数就会被调用
,我将立即向你们展示如何触发他。
HKLM\System\CurrentControlSet\Control\MUI\CallbackDlls\{ENTRY}\DllPath=<DLL>
这当然不是最好的驻留机制,但也是另一个值得关注的地方,以防万一……
HKLM\System\CurrentControlSet\Control\MUI\CallbackDlls\{ENTRY}\DllPath=<DLL>
在Windows 7,我们可以看到若干项:
Windows 10更多,我真的怀疑这段代码正要撤销。(原文这句话可能存在错误,与上文不符。也可能是本人翻译错误。)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-11-24 20:10
被yyyang编辑
,原因: