windows持久化后门之 Explorer进程

介绍

explorer.exe 是 Windows 操作系统中的一个关键进程，它是 Windows Explorer（或称为 File Explorer）的可执行文件。这个进程负责管理用户图形界面的许多方面，包括任务栏、系统托盘、文件资源管理器窗口以及桌面环境。

以下是 explorer.exe 进程的一些关键功能和特点：

桌面环境：它初始化并维护桌面背景、图标以及桌面上的其他视觉元素。

文件资源管理器：当你打开一个新的文件夹窗口时，实际上是 explorer.exe 进程创建并管理了这个窗口。

任务栏和系统托盘：explorer.exe 负责显示和维护任务栏以及位于屏幕右下角的系统托盘（也称为通知区域）。

上下文菜单：在文件或文件夹上点击鼠标右键弹出的菜单，是由 explorer.exe 进程控制的。

文件和文件夹操作：包括创建、打开、删除、重命名文件或文件夹等操作。

搜索功能：集成了文件搜索功能，允许用户快速找到计算机上的文件。

库：提供了管理文件库的界面，库是一种文件组织方式，允许用户将位于不同位置的文件和文件夹组合在一起。

网络驱动器映射：允许用户映射网络驱动器，使其在文件资源管理器中显示为本地驱动器。

快捷方式：管理桌面和开始菜单中的快捷方式。

系统通知：处理来自操作系统和应用程序的通知，并将它们显示在系统托盘中。

用户会话：explorer.exe 定义了用户会话的上下文，当用户登录时启动，并在用户注销时关闭。

Shell Namespace：管理文件系统层次结构，包括“我的电脑”、“网络”、“回收站”等特殊文件夹。    

explorer.exe 进程对Windows系统的用户界面至关重要，没有它，用户将无法进行文件管理、使用任务栏或与桌面交互。

然而，这个进程也可能成为问题的原因，例如：

资源消耗：在某些情况下，explorer.exe 可能会消耗大量CPU或内存资源，导致系统性能下降。

崩溃：explorer.exe 可能会因为内存管理问题或其他原因崩溃，这时桌面和任务栏可能会暂时消失，通常需要重启该进程。

恶意软件感染：恶意软件有时会利用或伪装成 explorer.exe 进程，以避免被用户发现

劫持风险

以下是一些可能导致Windows Explorer进程被劫持的常见手段：

恶意软件感染：病毒或恶意软件可能会注入其代码到Windows Explorer进程中，以此来隐藏自己并进行恶意活动。

DLL劫持：攻击者可能会替换或篡改Windows Explorer依赖的DLL文件，使得当Windows Explorer加载这些DLL时执行恶意代码。

脚本和宏：如果用户启用了宏或执行了恶意脚本，这些脚本可能会修改Windows Explorer的行为。

注册表篡改：通过修改Windows注册表中的相关键值，攻击者可以改变Windows Explorer的启动方式或加载额外的模块。

利用漏洞：如果Windows Explorer存在未修补的安全漏洞，攻击者可能会利用这些漏洞来执行远程代码或提升权限。

启动项和计划任务：通过添加恶意程序到系统的启动项或计划任务中，可以在Windows Explorer启动时自动运行恶意代码。

利用用户权限：如果用户具有管理员权限，攻击者可能会更容易地对Windows Explorer进行劫持。

社交工程：通过欺骗用户下载并运行恶意软件，攻击者可以间接实    

视频演示

原理及利用

本文主要讲述其通过缺失的DLL来完成恶意dll劫持注入，方式非常的简单，由于这是一个本机 Windows 进程，因此可以在攻防维持权限中使用它来注入任意代码。缺少 DLL 的进程很容易遭受 DLL 劫持。识别丢失的 DLL 很简单，需要进程监视器来过滤 explorer.exe 以查找包含 NAME NOT FOUND 的结果。通过process monitor发现explorer.exe 缺少的 DLL 之一 是 cscapi。（此处是不是也能举一反三，使用其他系统进程也是可以用相同的方式来进行注入）

原文始发于微信公众号（暴暴的皮卡丘）：windows持久化后门之 Explorer进程