ComRes注入

e1ectr0nlc

Dll注入

发布于：2023年7月13日

学习下来感觉是一个用处不大、适用性很窄的一种注入手法。

概念

当被注入程序使用CoCreateInstance()这个API时，Com服务器会加载ComRes.dll到被注入程序中。只要我们替换掉这个ComRes.dll文件，就可以实现注入。ComRes.dll位于Windows 系统中C:\WINDOWS\system32目录下。

我们很容易就能看出这种注入方法的限制，只能对调用CoCreateInstance()的程序进行注入，泛用性不高。并且当程序加载过comRes.dll文件后，再进行替换也会失效，注入时机也很重要。

编写伪造Dll文件替换原文件

没有代码实现，替换个文件就不需要写代码了吧(😀笑)

更新于：2024年5月12日

映射注入

映射注入实际上的思路与远程线程注入一致，只不过映射注入改变了Dll的写入方式而已。概念映射注入是一种内存注入技术，创建的Mapping对象本质上属于申请一块物理内存，而物理内存又能比较...

注册表注入

说实话，注册表是杀软严密监视的地方，我觉得现在对注册表进行的操作十有八九都会被查出来（但技术还是要学的）。概念主要依赖于两个表项，AppInit_Dlls和LoadAppInit_DL...