? ? ? ?很多人都認識注冊表，但是幾乎沒人搞懂過注冊表。我來帶大家玩轉注冊表，做這篇文章就想記錄一下注冊表里的一些路徑（難找，記不?。。疚闹形視榻B一些實用的利用注冊表進行內網權限維持的一個思路和方法。沒學網安的，會更了解注冊表；大佬就復習復習怎么進行權限維持吧！

目錄

注冊表怎么打開？

IFEO(Image File Execution Options)映像劫持

?注冊表里面的啟動項

文件關聯(lián)

?屏幕保護

時間提供者

Netsh助手DLL

winlogon用戶初始化(千萬千萬千萬不能亂改，搞不好會進不了系統(tǒng))

注冊表怎么打開？

使用快捷鍵win+r打開運行窗口,輸入命令? regedit，按下回車鍵即可打開注冊表編輯器。

IFEO(Image File Execution Options)映像劫持

原理：當我們雙擊運行程序的時候。系統(tǒng)就會查詢IFEO注冊表。如果發(fā)現(xiàn)存在完全相同的子鍵，就會查詢對應的子鍵中包含的"debugger"鍵值名，如果這個鍵值名不為空的情況下 系統(tǒng)則會吧debugger參數(shù)指定的程序文件來作為啟動的程序

路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

操作過程：這個路徑下有很多的exe程序，我這里選擇IE瀏覽器來進行測試，點擊iexplore.exe，在空白的地方右鍵，點擊新建，選擇字符串值(S)，把它命名成debugger，數(shù)值數(shù)據(jù)填你想要運行的程序，我這里打開的是cmd。

最后的效果：當點擊IE瀏覽器時會彈出cmd的運行窗口。?

?

?注冊表里面的啟動項

路徑：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
? ? ? ? ? ?HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

//如果改動里面的內容 不需要管理權限，針對于不同的用戶。盡量寫其他用戶

? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
? ? ? ? ? ?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

//如果改動里面的內容 需要管理員權限

?

文件關聯(lián)

文件關聯(lián)就是將一種類型的文件與一個可以打開他的程序建立起一種關系

路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\Shell\Open\Command
? ? ? ? ? HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ratfile\Shell\Open\Command

?操作過程：復制HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\Shell\Open\Command，回車(我更改的是.txt后綴的文件，rat是其他后綴的文件)，雙擊(默認)，數(shù)值數(shù)據(jù)填你想要運行的程序，我這里打開的是cmd。

?效果：當我打開.txt文件時運行了cmd。

正常默認值是：C:\Windows\System32\NOTEPAD.EXE %1

?屏幕保護

屏幕保護是Windows功能的一部分，使用戶可以在一段時間不活動后放置屏幕消息或圖形動畫。當我們更改了里面的值，用戶在一段時間不活動后觸發(fā)屏幕保護，也可以運行一些程序。因為屏幕保護程序是具有.scr文件擴展名的可執(zhí)行文件，并通過scrnsave.scr實用程序執(zhí)行。

屏幕保護程序設置存儲在注冊表中，從令人反感的角度來看，最有價值的值是：? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
? ? ? ? ? ?HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveActive
? ? ? ? ? ?HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaverIsSecure
? ? ? ? ? ?HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut

?

時間提供者

WiThdows操作系統(tǒng)正在利用時間提供者體系結構，以便從網絡中的其他網絡設備或客戶端獲取準確的 時間戳。時間提供者以DLL文件的形式實現(xiàn)，該文件位于System32文件夾中。WiThdows啟動期間將啟 動服務W32Time并加載w32time.dll。DLL加載是一種已知的技術，通常使紅隊攻擊者有機會執(zhí)行任 意代碼。

由于關聯(lián)的服務會在WiThdows啟動期間自動啟動，因此可以將其用作持久性機制。但是，此方法需要管理 員級別的特權，因為指向時間提供者DLL文件的注冊表項存儲在HKEY_LOCAL_MACHINE中。根據(jù) 系統(tǒng)是用作NTP服務器還是NTP客戶端，使用以下兩個注冊表位置。

路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpSe rver

?

?

Netsh助手DLL

Netsh是WiThdows實用程序，管理員可以使用它來執(zhí)行與系統(tǒng)的網絡配置有關的任務， 并在基于主機的 WiThdows防火墻上進行修改。可以通過使用DLL文件來擴展Netsh功能。此功能使紅隊可以使用此工具 來加載任意DLL，以實現(xiàn)代碼執(zhí)行并因此實現(xiàn)持久性。但是，此技術的實現(xiàn)需要本地管理員級別的權限。

可以通過Metasploit Framework 的“ msfvenom ”實用程序生成任意DLL文件

路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh

?

應該注意的是，某些可能安裝在受感染系統(tǒng)上的VPN客戶端可能會自動“ netsh ” 啟動，因此可能不需要使用其他方法進行持久化。

winlogon用戶初始化(千萬千萬千萬不能亂改，搞不好會進不了系統(tǒng))

winlogon.exe是windows中非常重要的進程，在用戶還沒有登錄系統(tǒng)之前就存在。當用戶登錄時。winlogon進行負責將用戶配置文件加載到注冊表。有點像啟動項。

路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit的值只能增加，不能修改和刪除，里面的值被修改或刪除了，下次開機就會進不了系統(tǒng)，所以說不能亂改。進不了系統(tǒng)，不知道為什么，也可以往這個原因猜。文章來源地址http://www.zghlxwxcb.cn/news/detail-450264.html

到了這里，關于玩轉注冊表的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！