• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

持久化控制学习


This Wind

Recommended Posts

前言

上完六天学,获得为时不长的两天假期。真是太逊了,这那叫法定节日,简直亏死这假放的和学上的永远成不了正比。

timg?image&quality=80&size=b9999_10000&s

顺便说一下,这个月份叫做:恶魔五月哭

持久化控制学习

方法一:
向指定的注册表添加一个条目

  • 添加到运行注册表项的程序在System StartUo执行。
    恶意软件可能会将自己添加到各种自动启动位置,下面是最常见的运行注册表项列表
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

实例:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • 1

添加一个Run项,值设置为
C:\System32\calc.exe

EfsUb9.png

方法二:
计划任务

  • 使用schtasks命令添加计划任务,在指定时间或开机或用户登录后执行

使用到的命令

schtasks
  • 1

schtasks命令详解:命令详解
schtasks常见错误:常见错误

实例:

schtasks /create /sc ONLOGIN /tr C:\Windows\System32\notepad.exe /tn notepad
  • 1
EfRDPA.md.png

设置每天指定时间内运行

schtasks /create /sc daily /st 00:00:00 /tr C:\Windows\System32\calc.exe /tn demo3
  • 1
EfWCM6.png

更多命令请点击上面命令详解

删除计划任务

scthasks /Delete /TN 任务名称 /F
  • 1
EfW3dg.png

方法三:
启动文件夹

  • 将要启动的东西放在启动文件夹,每次开机或重启都会运行

启动文件夹的两个路径

C:\Users\demo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
  • 1
  • 2
EfWzTg.md.png

方法四:
图像文件执行选项(映像劫持)

  • 图像文件执行选项允许直接在调试器下启动一个可执行文件。它为开发人员提供了调试其软件的选项,以便在可执行文件的启动代码中发现问题

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • 1

项下创建一个子项,子项的名称为你要劫持的exe名称,比如说notepad++.exe
然后创建一个值,值名为Debugger,值为要执行的恶意脚本路径

Efonzj.md.png

劫持之后,在运行notepad++.exe就会弹出calc

EfoKQs.md.png

参考文章:映像劫持

注意:有安360的把360卸了,就算360退出了,主动防御还是在的,这个就会拦截你

方法四:
Winlogon registry entries注册表项

  • 攻击者可以通过修改winlogon进程使用的注册表项来实现持久性。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这个注册表键的作用是在用户进行登陆时,winlogon运行指定的程序。根据官方文档,可以更改它的值来添加与删除程序。

参考文章:利用userinit注册表键实现无文件后门
修改:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • 1

注册表键

EfLUSO.md.png

重新登陆用户之后就会执行notepad

EfLD0A.md.png

修改

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • 1

也行

修改

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
  • 1

启动的explorer.exe改为你要启动的(问题是:修改之后用户登录后不会运行explorer.exe,也显示不出桌面,很容易被发现)

EfLI7n.md.png
EfLOcF.md.png

这么一搞环境好像tm崩了…噢,逊毙了
(windows修复中…..)

EfOZBd.md.png

方法五:
通过映像劫持修改辅助功能,比如像什么放大镜,粘带键等

  • 当攻击者在登录的时候或已经登录的时候使用辅助功能将触发,攻击者所设置的后门
EfzHhR.png
Efzq91.png

当然你也可以直接替换掉原来sethc.exe

方法六:
应用程序劫持

  • Windows中的applnit dlls功能提供了将自定义dlls加载到每个交互式应用程序的地址空间的方法。
    一旦一个dll被加载到任何进程的地址空间中,它就可以在该进程的上下文中运行,并且可以挂接已知的API来实现替代功能。攻击者可以通过在下面的注册表项中设置applnit_dlls值来实现恶意dll的持久性。

一旦修改了

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Applint_DLLs
  • 1

里的键值和启用加载之后,LoadApplnit_DLLs为1即为加载Applin_DLLs里的dll,所有有加载user.dll的进程里面都会有hook.dll

EhpEGR.md.png
EhpGRI.png

参考文章:Applnit_DLLs劫持

注意:当实验完之后记得删除注册表里面的设置和重启系统,如果不重启的话即便你删除了注册表里面的配置。任然会进行劫持

方法六:
DLL劫持

  • 程序加载DLL的时候会从上到下的搜索DLL如果中途把DLL给劫持为攻击者自己的DLL也能实现一个后门的效果

注意:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs键值所写的DLL始终都从

C:\Windows\System32
C:\Windows\System
C:\Windows
当前目录
path环境中的自定义目录
  • 1
  • 2
  • 3
  • 4
  • 5

如果你想保护某个DLL可以将其加入上述说的注册表路径中

EhPtQ1.png

由于DLL劫持需要符合一定的要求这里不做实验,寻找一个程序是否缺少DLL的最好的方法就是使用某些工具检查或者自己使用Procmon来检查

EhPNsx.png

方法七:
创建恶意服务与服务劫持

  • 攻击者可能以exe、dll或内核驱动程序的形式实现恶意程序,并以服务运行Windows支持各种服务类型
EhFkgs.png
EhFYb6.png

劫持aliide服务例子:

Ehk9qx.png

创建一个恶意的aliide.sys驱动文件替换掉原来路径下的aliide.sys驱动

由于创建的服务在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services项下都会创建一个子项,例如刚刚创建的update服务

EhkGWQ.png

找到aliide,将start设置为2

Ehk0oT.md.png

劫持后的服务

EhkrYF.png

声明

转载请声明:来自422926799.github.io
禁止做任何商业用途

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now