应急响应和权限维持 | autoruns使用手册-中

Windows预设的DLL列表，主要检测值是注册表：

HKLMSYSTEMCurrentControlSetControlSession ManagerKnownDLLs

微软为了防止系统的DLL被劫持，将一些容易被劫持的系统DLL写进了一个注册表项中，那么凡是此项下的DLL文件被禁止从EXE自身所在的目录下调用，只能从系统目录——SYSTEM32目录下调用。

例如gdi32这个写在KnowDLLs里，那么只要有程序需要这个gdi32.dll，就会从System32里调用。

这是 Windows系统DLL搜索顺序：

autoruns默认显示的是File not found的，攻击者添加非系统 DLL 到列表，使恶意 DLL 被优先加载。

修改权限设置为完全控制

新建一个字符串值asdasd，autoruns检测成功

由于写入的文件默认没有微软签名，所以报红

    我们可以通过修改注册表中Winlogon的Userinit键值来篡改系统的初始化。

    Userinit.exe是Windows登录过程中执行的重要系统文件，负责初始化用户环境。默认情况下，Userinit的键值指向userinit.exe，之后系统会启动explorer.exe作为用户界面。而我们可以在注册表里写入自定义的程序这样它会按注册表顺序来启动。

    我们也可以叫它Winlogon权限维持

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    在系统启动的时候执行userinit.exe然后执行calc.exe再执行1.exe

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /V "Userinit" /t REG_SZ /F /D "C:Windowssystem32userinit.exe,C:WindowsSystem32calc.exe,C:1.exe"

但是在添加成功后，在winlogon里并未发现异常的现象

而是在logon里发现，并且建议取消 Hide  windows  Entries的勾选

autoruns检测这一项的值主要是检测注册表：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSecurity Packages

SSP注入：

而这个注册表关联到SSP机制（安全支持提供程序），攻击者可以对其进行SSP注入，SSP注入的本质实际上的DLL劫持，通过mimikatz可以将mimilib.dll程序注入到内存当中，持久化的话可以将mimilib.dll写入到注册表中

copy mimilib.dll %systemroot%system32

reg add hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages" /d mimilib.dll  /t REG_MULTI_SZ

具体可以参考这篇文章

https://mp.weixin.qq.com/s/6rJUmoJBovYc52DKHR_dTA

autoruns对 LSA Providers的检测效果如下所示：

ssp注入后：

reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"

检测效果如下所示，可以看到Security Packages项是异常的

该字段默认值为

SSP注入后