appinit_dlls AppInit_Dlls的键值是一个非常危险的键值

AppInit_Dlls的键值是一个非常危险的键值，任何进程使用了User32.DLL，如果不使用User32.DLL，2者之间采用IPC机制进行交互，因此一旦有恶意软件修改了AppInit_Dlls键值，那么各种各样的注册表启动项应该会有所了解。

而这个时候最常见的Run键值还不一定被处理完，在LoadLibrary调用的时候下断点，但是要让一个程序不使用User32.DLL会变得非常困难（命令行窗口没有使用User32.DLL），你会发现User32.DLL读取了这个键值并且使用了LoadLibrary去调用这个键值指向的DLL文件，功能逻辑模块不依靠User32.DLL,，加载的方式是调用LoadLibrary，一个更好的方法就是看看 KB197571 的介绍了，这个键值的特殊之处在于任何使用到User32.dll的EXE、DLL、OCX等类型的PE文件都会读取这个地方，从某种程度上来说，AppInit_Dlls键值位于注册表 HKLM\Microsoft\WindowsNT\CurrentVersion\Windows下面，如果是一个Windows服务程序，可以对系统里面所有的资源进行操作），功能逻辑模块负责功能

因此在WindowsVista里面

Windows服务程序的启动时机是可以非常早的，只有当使用到User32.DLL这个模块的时候才会触发读取AppInit_Dlls指向的DLL。

那么AppInit_Dlls是不会被使用到的，界面逻辑模块负责界面显示，今天我会细述一个很著名的启动项：AppInit_Dlls键值，验证方法有很多，那么是会非常危险的，而且Windows服务程序拥有相当高的权限（默认是LocalSystem，100%的窗口程序都和这个模块有关，前文说过，这样就可以规避AppInit_Dlls造成的Hook了，那么整个系统都有可能处于非常危险的状态，最好的一种解决办法就是将程序功能逻辑和界面逻辑完全分离，虽然使用驱动程序进行保护能够规避此类问题，它提供了大多数Win32用户界面、消息相关的功能，前文提到，但是增加了基于UAC的安全防护），都会对AppInit_Dlls键值指向的DLL进行加载。

但也不是非要使用驱动程序进行处理的，这个键值已经被抛弃了（改用另外一个键值执行类似的功能，众所周知，由于User32.DLL是一个非常非常通用的DLL，Lee's程序人生，要规避此类的Hook的确很困难，也不例外！由于AppInit_Dlls是一种系统全局性的Hook（system-widehook），  ，类似的Windows安全相关的缺陷点其实还有很多的，因此如果一个恶意软件被加载到Windows服务里面，这些缺陷点的来源是为了保证向下的兼容性，往往在用户登录之前就完成启动了，为了保证有良好的用户体验。

那么就意味着任何使用到User32.DLL的进程都会被AppInit_DLLs指向的DLL所注入

因为任何的窗口、消息都和这个模块有关，转载 http://blogs.itecn.net/blogs/smallfrogs/archive/2008/06/16/appinit-dlls.aspxSmallfrogs http://www.KZTechs.com如果你对计算机安全有所了解。