权限维持及后门持久化技巧总结_卜八电脑最全问题故障中心

在攻击者利用漏洞获取到某台机器的控制权限之后，会考虑将该机器作为一个持久化的据点，种植一个具备持久化的后门，从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化，Linux持久化和Web持久化对现有技术进行了总结，对于持久化的攻击形式，主要是靠edr、av等终端产品进行检测。

二、Windows后门 2.1辅助功能镜像劫持

为了使电脑更易于使用和访问，Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征，一些恶意软件无需登录到系统，通过远程桌面协议就可以执行恶意代码。

一些常见的辅助功能如：

C:WindowsSystem32sethc.exe 粘滞键快捷键：按五次 shift 键

C:WindowsSystem32utilman.exe 设置中心快捷键：Windows+U 键

C:WindowsSystem32osk.exe 屏幕键盘

C:WindowsSystem32Magnify.exe 放大镜快捷键：Windows+加减号

在较早的 Windows 版本，只需要进行简单的二进制文件替换，比如经典的shift后门是将C:WindowsSystem32 sethc.exe替换为cmd.exe。对于在 Windows Vista 和 Windows Server 2008 及更高的版本中，替换的二进制文件受到了系统的保护，因此这里就需要另一项技术：映像劫持。

映像劫持，也被称为「IFEO」（Image File Execution Options）, 是Windows内设的用来调试程序的功能，Windows注册表中存在映像劫持子键(Image File Execution Options)。

当我们双击运行程序时，系统会查询该IFEO注册表，如果发现存在和该程序名称完全相同的子键，就查询对应子健中包含的“dubugger”键值名，如果该参数不为空，系统则会把 Debugger 参数里指定的程序文件名作为用户试图启动的程序执行请求来处理。这样成功执行的是遭到“劫持”的虚假程序。

具体实现最简单的操作就是修改注册表，

以设置中心utilman.exe为例：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Option中添加 utilman.exe 项，在此项中添加 debugger 键，键值为要启动的程序路径。对应的cmd命令如下：

REG ADD "HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Optionsutilman.exe" /tREG_SZ /v Debugger /d "C: est.bat" /f

注册表键值情况及启动效果：