常见的几种Windows后门耐久化方法

配景

耐久化后门是指当入侵者通过某种本领拿随处事器的节制权之后，通过在处事器上安排一些后门(剧本、历程、毗连之类)，来利便他往后耐久性的入侵，简朴梳理一下一般碰见windows用的较量多的一些耐久化方法利便往后排盘查题行使。

注册表自启动

最常见的在指定键值添加一个新的键值范例为REG_SZ,数据项中添写必要运行措施的路径即可以启动，此类操纵一些较为敏感轻易被当地AV拦截，今朝也是较为常见的一种方法。

键值路径如下：

HKEY_LOCAL_MACHINESOFTWAREMicroftwindowscurrentversionrun 

自启动项目如下：

用户登录

在注册表路径：HKCUEnvironment

建设字符串键值：UserInitMprLogonScript

键值配置为特定的剧本路径即可：

其它一种实现方法是修改winlogon Userinit字段：

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit 

Powershell的一键修改呼吁如下：

Set-ItemProperty "HKLM:SOFTWAREMicrosoftWINDOWS NTCurrentVersionWinlogon" -name Userinit -value "C:Windowssystem32userinit.exe,***************" 

按时使命

Windows实现按时使命首要有schtasks与at二种方法，必然条理说上schtasks是at呼吁的进级版、首要举动出格示意从一个特定的外网地点下载downloader样本或病毒母体可能维持CC通讯的心跳包。

行使以下呼吁可以一键实现：

"schtasks /create /sc minute /mo 1 /tn "chrome" /tr wscript.exe C:UsersAppDataLocalTemp13442980_crypted.vbs" 

WMI

WMI是微软基于Web的企业打点(WBEM)的实现版本，这是一项行业打算，旨在开拓用于会见企业情形中打点信息的尺度技能。首要与Powershell呼吁共同行使可以实现无文件进攻重要方法，具有精采的潜伏性也是今朝较为常用的耐久化本领。

要害实现的代码如下：

WMI工具首要是执行一个WQL(WMI Query Language)的查询后，当地挪用Powershell执行相应的代码因为没有文件生涯在当地磁盘可以或许较好的免查杀。

Black Hat 2015发布了一个WMIBackdoor的poc事实照旧经典，在风行的powersploit与nishang框架内里也有相干的ps1文件。

传送门：https://github.com/mattifestation/WMI_Backdoor

webshell

在指定的web处事器路径藏的很深的那种安排一个webshell，同时做好免杀后的shell每每比通例的体系后门更难被发明，这个操纵很通例。

种种webshell种类较量多传送门：https://github.com/xl7dev/WebShell

自启动处事

简朴的分为二种方法将本身的恶意的可执行文件注册成处事可能挪用体系历程如svchost加载dll文件运行处事。第二种方法相对潜伏性较好因为体系历程的非凡性每每不敢等闲终止历程，，因为此类均在PE文件可能其他范例文件在磁盘中轻易被查杀，非凡处理赏罚过的除外。

Metasploit可以行使Metsvc建设处事，此类操纵极轻易被AV查杀。

如下是永恒之蓝挖矿病毒一个常见病毒，通过伪装处事名为体系处事瞒天过海。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!