概述
在利用漏洞获取到某台主机的控制权限后,会考虑将该主机作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控主机。
Windows后门
辅助功能映像劫持
Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。
常见的辅助功能
C:\Windows\System32\sethc.exe 粘滞键 快捷键:按五次 shift 键 C:\Windows\System32\utilman.exe 设置中心 快捷键:Windows+U 键 C:\Windows\System32\osk.exe 屏幕键盘 C:\Windows\System32\Magnify.exe 放大镜 快捷键:Windows + 加减号
早期 Windows 版本中只需要将文件替换即可,例如 shift 后门就是将 C:\Windows\System32\ sethc.exe 替换为 cmd.exe
对于高级版本的 windows 就需要另一项技术 映像劫持
映像劫持
映像劫持 IFEO(Iamge File Execution Options) 是 Windows 内设的用来调试程序的功能,Windows 注册表中存在映像劫持子键。
当双击程序时,系统会查询改 IFEO 注册表,如果发现和该程序相同的子键,就查询对应子键中的 dubugger 键名值,如果参数不为空,系统则会把 dubugger 参数里指定的程序文件名作为用户启动的程序执行来处理,
实践
**
以设置中心 sethc.exe 为例:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option 中添加 sethc.exe 项,在此项中添加 debugger 键,键值为要启动的程序路径。对应的 cmd 命令如下:
REG ADD "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\utilman.exe" /tREG_SZ /v Debugger /d "C:\test.bat" /f
按 5 次 shift 即可看到以下效果
启动项 / 服务后门
Linux后门
若有收获,就点个赞吧
0 人点赞
