病毒持久化操作方法

已于 2022-06-12 08:26:09 修改
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 【一】病毒木马·防护处置·蓝队 文章标签: 安全
于 2022-05-05 19:20:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37865996/article/details/124594818
本文详细介绍了病毒或木马实现持久化的方法,包括注册表、计划任务、自启动服务、劫持与替换、WMI持久化、驱动利用、影子用户、Office系列后门及文件关联等手段,讲解了如何通过这些机制保持恶意软件在系统中的长期存在。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        执行持久化是指任何对系统的访问、操作或配置更改,使攻击者在该系统上持续的存在。

        攻击者通常需要通过中断来维持对系统的访问,例如系统重启、凭据丢失或其他需要远程访问工具重新启动或备用后门才能重新获得访问权限的故障。以下将详细介绍病毒或木马后门实现持久化的常规手段。

目录

一、注册表

1. 注册表

2. 如何修改注册表实现持久化

(1)AT利用

(2)HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

(3)HKEY_CLASSES_ROOT\txtfile\shell\open\command

(4)屏保程序Screensaver

(5)Hijacking TimeProviders

(6)启动项

二、计划任务

持久化实现方法

三、自启动服务

1. 自启动服务

2. 持久化实现方法

 (2)使用nssm注册服务

四、劫持和替换

1. Shift后门

2. 映像劫持

3.劫持MruPidlList

五、WMI持久化

1. WMI

2. 持久化实现方法

 WMI 常用命令

持久化原理

六、 驱动:利用inf文件实现后门

inf文件的结构

DefaultInstall节

后门实现

 七、影子用户

八、Office系列

1. Word WLL

2. Excel WLL

3.PowerPoint VBA add-ins

九、文件关联

一、注册表

1. 注册表

注册表是Windows操作系统的核心数据库,存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行。可以说是Windows的神经中枢。

2.

了解本专栏 订阅专栏 解锁全文 超级会员免费看
[网络安全自学篇] 九十三.《Windows黑客编程技术详解》之木马开机自启动技术(注册表、计划任务、系统服务)
杨秀璋的专栏
08-15 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术,包括注册表、快速启动目录、计划任务和系统服务,希望对您有所帮助。
常见的几种Windows后门持久化方式
qq284489030的博客
05-09 2262
0×0 背景 持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用。 0×1 注册表自启动 最常见的在指定键值添加一个新的键值类型为REG_SZ,数据项中添写需要运行程序的路径即可以启动,此类操作一些较为敏感容易被本地AV...
使用Shellter生成远控木马并进行持久化控制
cj_Hydra's Blog
02-05 2661
介绍 Shellter是一个开源的免杀工具,利用动态Shellcode注入来实现免杀的效果,想了解更多可以参考shellter官网:https://www.shellterproject.com/ 步骤 Shellter该软件可以直接在官网中下载后,直接在windows中运行,也可以下载好了以后拷贝到kali中运行,当然了也可以在kali中直接apt-get install shellter来进行...
linux远程控制木马,Kali Linux-使用Shellter生成远控木马并进行持久化控制
weixin_39535752的博客
05-06 3941
安装Shellter:apt-get install shellter打开shellter 操作模式选择A,PE Target:输入要捆绑木马的软件的目录,这里用putty做实验(必须是32位的程序): 选择是否使用隐形模式进入:选择Y 选择payload 或 custom:LPAYLOAD选择:1(反弹连接) 设置LHOST填控制者的IPLPORT填反弹连接的端口,随便填一个端口打开msfco...
windows中常见后门持久化方法总结
收集盒 Book box
11-13 1870
前言 当我们通过各种方法拿到一个服务器的权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法 后门持久化 我的操作环境是: 无AV、管理员权限(提权、免杀等是后门持久化的铺垫,当然有的方法也并不是全部需要这些铺垫) 操作系统:win7,windows server 2008R2,xp shift后门...
windows主机持久化技术
chinese_cabbage0的博客
03-18 592
比如我们通过Userinit项的值添加上想要执行的程序或者脚本,比如添加上notepad.exe,当用户登录时,则会触发该程序,如果攻击者将其设置为木马程序等,就能够在用户登录成功时触发,需要注意的是,触发的应用程序的权限与登录用户的权限相同,比如以普通用户登录,则触发后的程序也是普通用户的权限 这里测试,添加一个notepad.exe。例如,我们在注册表中新建一个notepad.exe项,然后把它的值设置为cmd.exe,当我们打开记事本的时候就会打开cmd.exe 新建字符串值。
文件操作与持久化存储基础
通过文件操作,我们可以持久化地存储和读取数据,将程序运行产生的结果和用户输入的数据保存到文件中,也可以从文件中读取数据并进行相应的处理。文件操作还可以用于数据备份、日志记录、配置文件读取等诸多方面。 ...
持久性保障:ECC校验可靠性分析与数据持久化方法
![持久性保障:ECC校验可靠性分析与数据...同时,结合数据持久化中常见的问题和应对策略,如RAID技术、数据备份与恢复方法以及实时数据复制等,本文提出了一系列提高数据持久化可靠性的措施。最后,展望了ECC与数据持
ATT&CK v10版本战术实战研究—持久化(一)
ducc20180301的博客
03-03 539
文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段,其中的原理是什么,是怎样实现的,安全运维人员如何及时发现,我们应该从哪些方面预防和检测。
一键清除“暴风一号”病毒自动化工具发布
- 使用方法和特定情况的说明:说明了如何使用脚本以及在特殊情况下(如磁盘无法打开)的操作方法,这涉及到用户界面友好性和故障排查的基本原则。 【压缩包子文件的文件名称列表】中“清除脚本和数据流清除工具”是...
Windows内网渗透篇-后门持久化姿势总结
黄乔国PHP
01-23 1185
拿下服务器之后,应该怎么做到持久化控制呢?下面总结了内网渗透中常见的持久化姿势,如:映像劫持,定时任务,登录脚本等常见持久化操作,希望对大家工作或者学习有一定的帮助.
Kali Linux-使用Shellter生成远控木马并进行持久化控制
吾无法无天的博客
10-20 7148
安装Shellter: apt-get install shellter 打开shellter 操作模式选择A,PE Target:输入要捆绑木马的软件的目录,这里用putty做实验(必须是32位的程序): 选择是否使用隐形模式进入:选择Y 选择payload 或 custom:L PAYLOAD选择:1(反弹连接) 设置LHOST填控制者的IP LPORT填反...
Meterpreter 控制持久化
Epsilon
03-01 6430
Meterpreter 的 persistence 脚本允许注入 Meterpreter 代理,以确保系统重启之后 Meterpreter 还能运行。如果是反弹连接方式,可以设置连接攻击机的时间间隔。如果是绑定方式,可以设置在指定时间绑定开放端口。 如下所示,我们运行 persistence 脚本让系统开机自启动 Meterpreter (-X),10秒 (-i 10) 重连一次,使
windows操作系统常见持久性后门
weixin_42282189的博客
10-14 2925
windows操作系统常见持久性后门 0x00 简介 ​ 当我们拿到域中最高权限之后,就需要将自己的权限进行巩固,进行权限持久化操作。 0x01 隐藏账户 1.1 测试系统 win 7 1.2 新建特殊账户 在目标主机cmd中输入以下命令,创建一个名为whoami$的隐藏账户,并把该隐藏账户设置为管理员权限 net user whoami$ howe7 /add net localgroup administrators whoami$ /add ​ 注:创建的用户名必须以$符
Fortinet发布全新AI驱动邮件安全解决方案组合,邮件安全产品矩阵再升级
Sophya89的博客
06-23 361
专注推动网络与安全融合的全球性综合网络安全解决方案供应商 Fortinet®(NASDAQ:FTNT),近日宣布发布新一代企业级邮件安全解决方案组合FortiMail Workspace Security suite,全面增强旗下数据和生产力安全产品组合,实现邮件安全生态全面进化。
私有规则库:企业合规与安全的终极防线
2501_92019101的博客
06-21 154
pattern: '/(\\d{6})202[2-4]\\d{10}/', // 匹配银行卡号+有效期。return matches.map(/* 生成修复建议 */);├── 个人版:1200用户 → $10,800/月。// 1. 规则加密(使用WebAssembly编译)├── 团队版:85家企业 → $4,165/月。'发现3个高级风险,升级企业版查看详情 →',└── 企业版:7家银行 → $2,093/月。**合计:$17,058/月**内存占用比传统方案减少70%'立即升级', '忽略'
SQL注入安全研究
balareshe的博客
06-19 855
SQL注入(SQL Injection)是一种针对数据驱动应用的攻击技术。当应用程序将未经恰当处理的用户输入直接拼接到SQL查询语句中时,攻击者可通过构造特殊输入诱导数据库执行非法操作。根据NIST漏洞数据库统计,该漏洞连续15年位列OWASP Top 10安全威胁前三名。
联软科技入选《新质·中国数字安全百强(2025)》专业领域榜单,斩获“领先者”称号
leagsoft_1003的博客
06-20 312
其方案突破单一技术限制,融合端点安全、边界(空间)安全、数据安全安全对抗及零信任等先进理念与技术,有效降低企业安全运维复杂度,助力客户构建高效、统一、智能的数字安全防护体系。联软科技凭借在数字安全领域的持续创新与商业化落地能力,入选“新质百强专业领域”榜单,获得“领先者”称号。未来,联软科技将持续以客户为中心,从实际应用出发,深化在端点安全、数据安全、原生安全等数字安全核心技术领域的创新,不断推出更具前瞻性、竞争力和适应性的数字安全解决方案。领航者:在自身主营赛道处于第一站位,估值15亿元以上。
香港电讯与Fortinet联合推出面向中国市场的安全SD-WAN
最新发布
HKT香港电讯的博客
06-24 98
香港电讯宣布与环球网络安全领导者Fortinet合作,推出专为中国市场打造的安全软体定义广域网(SD-WAN)解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东方隐侠安全团队-千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值