草庐IT

通过注册表实现程序开机自启动的方法

Mr.95 2024-05-15 原文

文章目录

一、前言

一般而言,木马或病毒成功在服务器上运行后,通过会做的一件事就是把自己添加进开机启动项,以实现在目标服务器上的持久化驻留。
要实现开机自启动,有几种方法,有任务计划、服务、注册表等方式。任务计划相对而言,较为明显,很容易被管理员发现,而服务的话,不是通用的,比如在win10和win8上能直接生成的服务,在win7及以下操作系统中常常用不了。而最稳妥的办法就是通过修改注册表来实现开机自启了。这个方法的好处在于,适用于全版本的windows系统,所以最稳。
有的人可能会有疑问,我又不是黑客,学这个干啥?其实很简单,作为一名渗透测试人员,排查系统中存在的病毒木马是必备的技能,很多病毒木马都是做了免杀的,光靠杀毒软件很难识别出来,因此就需要手动去排查,而启动项则是排查的项目之一,因此只有了解它的攻击手法,才能知道怎么把它清除干净并做好防御措施。

二、修改注册表的两种方法

修改注册表主要有两种方法,一种是手动在图形化界面中修改,另一种是用命令行来操作,这需要对相关命令有一定的了解。接下来一一演示如下。

(一)手动修改注册表

首先在命令行中输入:

regedit

打开注册表后,定位到如下位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以桌面上的1.exe文件为例,在run右侧新建一个字符串值,名字任取,我这里设置为aaa。首先查看1.exe文件的路径:

C:\Users\ASUS\Desktop\1.exe

然后双击aaa并修改它的值为:

"C:\Users\ASUS\Desktop\1.exe" /start


然后开启任务管理器,在启动模块中可以看到,1.exe已经被添加进开启启动项。

(二)命令行修改注册表

通过命令行修改注册表的主要方法为用reg命令来改。
可以在命令行输入以下命令查看帮助:

reg /?


我们需要用到的一个参数是:
reg add
这表示增加或修改。没有的就增加,已有的就覆盖(名称及类型)。该命令的语法及参数的含义可以在命令行中输入:

reg add /?


这里我们需要注意的地方有两个,首先,路径是要被双引号包起来的,其次,双引号后面有一个空格,空格后面才是/start参数。
构造语句如下:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb /t REG_SZ /d "\"C:\Users\ASUS\Desktop\1.exe\" /start" /f

注意,/d参数后面的双引号内的全部内容是表示要写入bbb键的内容,而由于该参数会识别双引号,因此这里用了转义。同时,空格也是被包含在双引号内的,因此不必再单独处理。
注意修改注册表最好以管理员身份运行命令提示符,以免出现权限不够的情况。

查看注册表:

命令执行成功!

三、查询注册表键值

用以下命令:

reg query

不知道该命令的语法怎么办,没关系,用以下命令查询帮助:

reg query /?


利用该语法,我们可以查询刚才生成的键值:

reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb

四、小结

本文分享了两种修改注册表实现指定程序开启自动运行的方法,同时分享了注册表键值的查询方法,希望对大家学习渗透测试有帮助。

注册表通过xffxff0cxff0web安全系统安全安全

有关通过注册表实现程序开机自启动的方法的更多相关文章

  1. ruby - 如何使用 Nokogiri 的 xpath 和 at_xpath 方法 - 2

    我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div

  2. ruby - 如何从 ruby​​ 中的字符串运行任意对象方法? - 2

    总的来说,我对ruby​​还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用

  3. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

    类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

  4. ruby - Facter::Util::Uptime:Module 的未定义方法 get_uptime (NoMethodError) - 2

    我正在尝试设置一个puppet节点,但ruby​​gems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由ruby​​gems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby

  5. ruby - 在 Ruby 程序执行时阻止 Windows 7 PC 进入休眠状态 - 2

    我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0

  6. Ruby 方法() 方法 - 2

    我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby​​-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco

  7. ruby - 通过 rvm 升级 ruby​​gems 的问题 - 2

    尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub

  8. ruby - 如何指定 Rack 处理程序 - 2

    Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack

  9. ruby - 在 Ruby 中编写命令行实用程序 - 2

    我想用ruby​​编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序

  10. ruby-on-rails - Rails 3.2.1 中 ActionMailer 中的未定义方法 'default_content_type=' - 2

    我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer

随机推荐