通过注册表实现程序开机自启动的方法

文章目录


一、前言

一般而言,木马或病毒成功在服务器上运行后,通过会做的一件事就是把自己添加进开机启动项,以实现在目标服务器上的持久化驻留。
要实现开机自启动,有几种方法,有任务计划、服务、注册表等方式。任务计划相对而言,较为明显,很容易被管理员发现,而服务的话,不是通用的,比如在win10和win8上能直接生成的服务,在win7及以下操作系统中常常用不了。而最稳妥的办法就是通过修改注册表来实现开机自启了。这个方法的好处在于,适用于全版本的windows系统,所以最稳。
有的人可能会有疑问,我又不是黑客,学这个干啥?其实很简单,作为一名渗透测试人员,排查系统中存在的病毒木马是必备的技能,很多病毒木马都是做了免杀的,光靠杀毒软件很难识别出来,因此就需要手动去排查,而启动项则是排查的项目之一,因此只有了解它的攻击手法,才能知道怎么把它清除干净并做好防御措施。


二、修改注册表的两种方法

修改注册表主要有两种方法,一种是手动在图形化界面中修改,另一种是用命令行来操作,这需要对相关命令有一定的了解。接下来一一演示如下。

(一)手动修改注册表

首先在命令行中输入:

regedit

打开注册表后,定位到如下位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以桌面上的1.exe文件为例,在run右侧新建一个字符串值,名字任取,我这里设置为aaa。首先查看1.exe文件的路径:

C:\Users\ASUS\Desktop\1.exe

然后双击aaa并修改它的值为:

"C:\Users\ASUS\Desktop\1.exe" /start

在这里插入图片描述
然后开启任务管理器,在启动模块中可以看到,1.exe已经被添加进开启启动项。

(二)命令行修改注册表

通过命令行修改注册表的主要方法为用reg命令来改。
可以在命令行输入以下命令查看帮助:

reg /?

在这里插入图片描述
我们需要用到的一个参数是:
reg add
这表示增加或修改。没有的就增加,已有的就覆盖(名称及类型)。该命令的语法及参数的含义可以在命令行中输入:

reg add /?

在这里插入图片描述
这里我们需要注意的地方有两个,首先,路径是要被双引号包起来的,其次,双引号后面有一个空格,空格后面才是/start参数。
构造语句如下:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb /t REG_SZ /d "\"C:\Users\ASUS\Desktop\1.exe\" /start" /f

注意,/d参数后面的双引号内的全部内容是表示要写入bbb键的内容,而由于该参数会识别双引号,因此这里用了转义。同时,空格也是被包含在双引号内的,因此不必再单独处理。
注意修改注册表最好以管理员身份运行命令提示符,以免出现权限不够的情况。
在这里插入图片描述
查看注册表:
在这里插入图片描述
命令执行成功!


三、查询注册表键值

用以下命令:

reg query

不知道该命令的语法怎么办,没关系,用以下命令查询帮助:

reg query /?

在这里插入图片描述
利用该语法,我们可以查询刚才生成的键值:

reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb

在这里插入图片描述


四、小结

本文分享了两种修改注册表实现指定程序开启自动运行的方法,同时分享了注册表键值的查询方法,希望对大家学习渗透测试有帮助。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值