Loading... 1. # 注册表启动 - Run 键启动 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 1. run 键 2. RunOnce 键 3. RunServicesOnce 键 4. RunService 键 5. RunOnceEx 6. load 7. Winlogon 8. 9. 2. # 注册表注入启动 1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 2. 修改AppInit_DLLs 和 LoadAppInit_DLLs键值,User32.dll 加载时会加载键值指定的DLL 3. # 服务系统 - 创建系统服务 - 恶意代码会将自己登记为系统服务,并设置启动方式为自启动 - 系统启动时,会被当成系统服务启动,实现加载 4. # 随文件执行 5. 感染 6. 捆绑 7. 修改文件关联,配置文件 8. 劫持 9. # BootKit 1. 定义:通过感染MBR(磁盘主引导记录)的方式,实现绕过内核检测和启动隐身。其开机启动比Windows内核更早加载,实现内核劫持。可以称之为BootKit 2. 特点: - 在Ring3 下可完成Hook(改写NTLDR) - 注入内核的代码没有大小限制,也无需自己读入代码 - BOOTDRIVER驱动初始化时加载(因情况而定,也可hook内核其他地方) 10. # 开机菜单中的启动项 - 开机-程序-启动菜单, - 1. 当前用户 - C:\Users\用户名\[开始]菜单\程序\启动 - C:\Users\用户名\App DATa\Roaming\Microsoft\Windows\Start Menu\Programs\Startup - 2. 所有用户 - 2. C:\All Users\App DATa\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 11. # 进程迷惑 12. 伪装正常进程名称/正常的路径 13. 远程注入 14. Dll注入技术 15. 直接注入技术 16. 进程替换 17. APC注入 18. 进程隐藏 19. 系统隐藏 # 隐藏窗口 ```cpp #include <shobjidl_core.h> BOOL ShowInTaskbar(HWND hWnd, BOOL bShow) { LPVOID lp = NULL; CoInitialize(lp);//初始化COM库:没有这两句隐藏不起作用 HRESULT hr; ITaskbarList* pTaskbarList; hr = CoCreateInstance(CLSID_TaskbarList, NULL, CLSCTX_INPROC_SERVER, IID_ITaskbarList, (void**)&pTaskbarList); if (SUCCEEDED(hr)) { pTaskbarList->HrInit(); if (bShow) pTaskbarList->AddTab(hWnd); else pTaskbarList->DeleteTab(hWnd); pTaskbarList->Release(); return TRUE; } return FALSE; } HWND testwindow;//声明窗口句柄 testwindow = GetForegroundWindow();//当前窗口句柄 //ShowWindow(testwindow, SW_HIDE); //隐藏窗口 //------------------------------------------下面其实是想缩小为1像素但是 总是有个关闭显示所以改为缩小隐藏 // 重新设置窗口大小 RECT rect; GetWindowRect(testwindow, &rect); MoveWindow(testwindow, 2, 3, 4, 5, true); //MoveWindow(testwindow, 1, 1, 0, 0, true); ShowWindow(testwindow, SW_MINIMIZE); //窗口最小化 最小化有一个缩减过程 ShowInTaskbar(testwindow, SW_HIDE); //隐藏控制台中的显示 ``` 最后修改:2022 年 08 月 18 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏