《案例精解企业级网络构建》赠书活动开始啦！　最新活动：“Web安全大家谈”有奖征文

关于AppInit_DLLs

2007-07-26 21:55:33

在以下注册表项中找到 AppInit_DLLs 值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

默认值为空!

一种木马可能用到的方法!

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。

最近发现此值被改为273100M.BMP的情况!而且在正常模式下无法删除!

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="273100M.BMP"

关于appinit_dlls的微软官方的信息：

http://support.microsoft.com/kb/197571

2007-09-03 添加：

今又发现一加载项如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="qjhpri.dll"

上一篇恶意软件之BHO篇　　下一篇关于CMD的劫持

类别：安全相关 ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：

FreeShareOpen

关于AppInit_DLLs