一.映像劫持
简单来说就是劫持后的程序不是原来的程序,而是我们写好的恶意程序
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
操作:
在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下
添加一个项QQ.exe,在项中添加一个debugger,把数据写成我们的恶意程序
这样的话 打开QQ实则打开的是我们的cmd命令行
二.注册表自启动项
系统级:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce](仅运行一次)
[HKEY_LOCAL_MACHINESoftwareWOW6342NodeMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareWOW6342NodeMicrosoftWindowsCurrentVersionRunOnce](仅运行一次)
用户级:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
三.用户登录初始化
Userinit 是指在用户登录初始化的时候,Winlogon会执行指定的login script 可以修改它的键值添加需要自启动的程序,用逗号隔开
三.Logon script
Logon script会优于av(杀毒安全软件)执行,可以利用这点绕过av的敏感操作拦截
路径为:
创建一个键:UserInitMprLogonScript
键值为我们启动的程序
四.屏幕保护程序
SCRNSAVE.EXE 默认屏保程序,可以把键值改为我们的恶意程序
ScreenSaveActive:1表示启动状态,0表示关闭状态
ScreenSaverTimeout:指定屏幕保护程序启动前系统的空闲事件,单位为秒,默认为900(15分钟)
五.影子用户
顾名思义就是一个隐藏用户,只能通过注册表查看这个用户,其他方式是找不到这个用户信息
net user test$ /add
net localgroup test$ /add
SAM键默认只能是SYSTEM权限修改的,所以我们要修改SAM权限,给予administrator完全控制和读取权限
我们这里要找到Names里面的aiyo$和aiyo$对应的16进制目录,右键导出到桌面。
然后使用net user aiyo$ /del 删除aiyo$用户。
最后双击导出的两个注册表,添加进注册表里面,然后就ok了。
可参考:https://www.k2zone.cn/?p=642