文章目录
一、前言
一般而言,木马或病毒成功在服务器上运行后,通过会做的一件事就是把自己添加进开机启动项,以实现在目标服务器上的持久化驻留。
要实现开机自启动,有几种方法,有任务计划、服务、注册表等方式。任务计划相对而言,较为明显,很容易被管理员发现,而服务的话,不是通用的,比如在win10和win8上能直接生成的服务,在win7及以下操作系统中常常用不了。而最稳妥的办法就是通过修改注册表来实现开机自启了。这个方法的好处在于,适用于全版本的windows系统,所以最稳。
有的人可能会有疑问,我又不是黑客,学这个干啥?其实很简单,作为一名渗透测试人员,排查系统中存在的病毒木马是必备的技能,很多病毒木马都是做了免杀的,光靠杀毒软件很难识别出来,因此就需要手动去排查,而启动项则是排查的项目之一,因此只有了解它的攻击手法,才能知道怎么把它清除干净并做好防御措施。
二、修改注册表的两种方法
修改注册表主要有两种方法,一种是手动在图形化界面中修改,另一种是用命令行来操作,这需要对相关命令有一定的了解。接下来一一演示如下。
(一)手动修改注册表
首先在命令行中输入:
regedit
打开注册表后,定位到如下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以桌面上的1.exe文件为例,在run右侧新建一个字符串值
,名字任取,我这里设置为aaa。首先查看1.exe文件的路径:
C:\Users\ASUS\Desktop\1.exe
然后双击aaa并修改它的值为:
"C:\Users\ASUS\Desktop\1.exe" /start
然后开启任务管理器,在启动
模块中可以看到,1.exe已经被添加进开启启动项。
(二)命令行修改注册表
通过命令行修改注册表的主要方法为用reg命令来改。
可以在命令行输入以下命令查看帮助:
reg /?
我们需要用到的一个参数是:
reg add
这表示增加或修改。没有的就增加,已有的就覆盖(名称及类型)。该命令的语法及参数的含义可以在命令行中输入:
reg add /?
这里我们需要注意的地方有两个,首先,路径是要被双引号包起来的,其次,双引号后面有一个空格,空格后面才是/start
参数。
构造语句如下:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb /t REG_SZ /d "\"C:\Users\ASUS\Desktop\1.exe\" /start" /f
注意,/d
参数后面的双引号内的全部内容是表示要写入bbb键的内容,而由于该参数会识别双引号,因此这里用了转义。同时,空格也是被包含在双引号内的,因此不必再单独处理。
注意修改注册表最好以管理员身份运行命令提示符,以免出现权限不够的情况。
查看注册表:
命令执行成功!
三、查询注册表键值
用以下命令:
reg query
不知道该命令的语法怎么办,没关系,用以下命令查询帮助:
reg query /?
利用该语法,我们可以查询刚才生成的键值:
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb
四、小结
本文分享了两种修改注册表实现指定程序开启自动运行的方法,同时分享了注册表键值的查询方法,希望对大家学习渗透测试有帮助。