跳转至

AppInit DLLs

对手可能通过执行由AppInit DLLs加载到进程中的恶意内容来建立持久性和/或提升权限。指定在注册表键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WindowsHKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows中的AppInit_DLLs值的动态链接库(DLL)由user32.dll加载到每个加载user32.dll的进程中。实际上,这几乎是每个程序,因为user32.dll是一个非常常见的库。(引用: Elastic Process Injection July 2017) 类似于进程注入,这些值可以被滥用,通过导致恶意DLL被加载并在计算机上的单独进程上下文中运行来获得提升的权限。(引用: AppInit Registry) 恶意AppInit DLLs还可以通过API活动的持续触发提供持久性。 在启用安全启动的情况下,AppInit DLL功能在Windows 8及更高版本中被禁用。(引用: AppInit Secure Boot)