windows主机持久化技术

1.windows主机持久化

映像劫持，也被称为IFEO，本身是windows的一项正常功能，主要用于调试程序，其初衷是在程序启动时开启调试器来调试程序，可以通过注册表中的计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options进行设置

2.原理和利用方式

新建项notepad.exe，表示检测可执行程序notepad.exe，当运行notepad时，执行Debugger中的cmd.exe 例如，我们在注册表中新建一个notepad.exe项，然后把它的值设置为cmd.exe，当我们打开记事本的时候就会打开cmd.exe 新建字符串值

通过这个可以执行恶意程序，常用于检测sethc.exe,sethc是windows中按5次shift键之后的提示，我们修改之后按5次shift键之后就会直接调出想要调用的程序了，权限是system

3.创建任务计划程序

schtasks /create /tn NewTask /tr cmd.exe /sc minute /mo 5 /ru system //以system用户权限，每5min执行一次cmd.exe程序，计划任务名称为NewTask

4.删除计划任务

schtasks /delete /tn NewTask NewTask是计划任务名字

或者可以直接搜索任务计划程序，然后创建计划任务

删除也可以直接在任务计划中直接删除 schtask就可以看到计划任务了 或者schtask /query都可以

5.用户登录的初始化

在注册表中，存在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Userinit其中Userinit的作用是在用户进行登录初始化时设置，让Winlogin进程指定的Login scripts当设置为指定值时，就能达到效果

比如我们通过Userinit项的值添加上想要执行的程序或者脚本，比如添加上notepad.exe，当用户登录时，则会触发该程序，如果攻击者将其设置为木马程序等，就能够在用户登录成功时触发，需要注意的是，触发的应用程序的权限与登录用户的权限相同，比如以普通用户登录，则触发后的程序也是普通用户的权限 这里测试，添加一个notepad.exe

当我们注销之后，再次登录系统之后就会打开notepad.exe

6.Environment设置

在注册表中，存在HKEY_CURRENT_USER\Environment,其中HKEY_CURRENT_USER为当前登录用户的设置项，Environment为环境变量的设置 利用方式： 新建项UserInitMprLoginScript，值设置为对应的需要执行的内容，新建项后，当重新登录该用户则会启动cmd.exe 相比于其他登录触发的设置，使用环境变量可以绕过一些AV的敏感操作拦截，因为Login Scripts会优先于AV先实行

创建完成之后注销重新登录即可触发

7.影子用户

在基础的用户隐藏中，我们知道通过在用户名后面加一个$符号，以实现用户从net user命令的结果中隐藏，但是通过这种隐藏仍然可以通过用户管理程序，wmic命令和注册表来排查 利用方式： 要想进一步隐藏就需要用到影子用户了，在注册表中HKLM_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中，找到Administrator用户的F值，我们来操作一下 首先创建隐藏用户，查看是否可以通过net user查看

在注册表中找到Names，找到我们的administrator账户，看类型十六进制，找到对应的二进制数据，将F值给赋值粘贴到test$对应的类型的十六进制对应的二进制F的值

然后将test导出，对应的十六进制导出 实际上最主要的排查就是在注册表中找到隐藏用户 这个影子账户我们通过用户管理看不到这个账户，通过wmic命令还是可以看到的

最好用的方式就是看注册表和使用wmic命令 vmic useraccount get name