一、自启动文件夹
自启动文件夹, 字面意思, 把文件放入即可启动。启动条件是每次开机的时候会自动运行文件夹里的程序或者文件。
1进入自启动文件夹的两种方式:2、cmd: cd %AppData%MicrosoftWindows"StartMenu"ProgramsStartup3、win+r: shell:startup
二、注册表自启动
通过在注册表中写入相应的键值可以实现程序的开机自启动,主要是 Run 和RunOnce ,其中 RunOnce 和Run 区别在于 RunOnce 的键值只作用一次,执行完毕后会自动删除。
1、注册表:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe rsionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe rsionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe rsionRunOnceEx2、基于策略的自启动注册表:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe rsionPoliciesExplorerRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionPoliciesExplorerRun3、设置启动文件夹注册表:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionExplorer"User Shell Folders"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionExplorer"Shell Folders"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVe rsionExplorer"Shell Folders"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVe rsionExplorer"User Shell Folders":HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe rsionRunServicesOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionRunServicesOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe rsionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer sionRunServices
详细注册表项可查看星球首个发出的文件(websec.pdf),这本书的作者整理的很好。
注册表查询:
reg query 注册表项
注册表项创建:
=REG ADD KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f] [/reg:32 | /reg:64]
KeyName [\Machine]FullKey
Machine 远程机器名 - 忽略默认到当前机器。远程机器上
只有 HKLM 和 HKU 可用。
FullKey ROOTKEYSubKey
ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
SubKey 所选 ROOTKEY 下注册表项的完整名称。
/v 所选项之下要添加的值名称。
/ve 为注册表项添加空白值名称(默认)。
/t RegKey 数据类型
[ REG_SZ | REG_MULTI_SZ | REG_EXPAND_SZ |REG_DWORD | REG_QWORD| REG_BINARY|REG_NONE ]
如果忽略,则采用 REG_SZ。
/s指定一个在 REG_MULTI_SZ 数据字符串中用作分隔符的字符
如果忽略,则将 "�" 用作分隔符。
/d 要分配给添加的注册表 ValueName 的数据。
/f 不用提示就强行覆盖现有注册表项。
/reg:32 指定应该使用 32 位注册表视图访问的注册表项。
/reg:64 指定应该使用 64 位注册表视图访问的注册表项。
例如:
REG ADD \ABCHKLMSoftwareMyCo
添加远程机器 ABC 上的一个注册表项 HKLMSoftwareMyCo
REG ADD HKLMSoftwareMyCo /v Data /t REG_BINARY /d fe340ead
添加一个值(名称: Data,类型: REG_BINARY,数据: fe340ead)
REG ADD HKLMSoftwareMyCo /v MRU /t REG_MULTI_SZ /d fax�mail
添加一个值(名称: MRU,类型: REG_MULTI_SZ,数据: fax�mail��)
REG ADD HKLMSoftwareMyCo /v Path /t REG_EXPAND_SZ /d ^%systemroot^%
添加一个值(名称: Path,类型: REG_EXPAND_SZ,数据: %systemroot%)
注意: 在扩充字符串中使用插入符号 ( ^ )
关 注 有 礼
欢迎关注公众号:网络安全者
获取每日抽奖送书
本文内容来自网络,如有侵权请联系删除
原文始发于微信公众号(网络安全者):红队技巧 -- 自启持久化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论