绕过Autoruns的一种方式

病毒利用注册表修改启动项分析
最新推荐文章于 2025-10-07 11:05:30 发布
原创 最新推荐文章于 2025-10-07 11:05:30 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Bypass #添加启动项 #病毒分析

博客指出木马常释放文件到启动项目录易被检测,介绍了开始菜单启动项路径保存在注册表项中,可将注册表中的值替换成其他路径作为开机启动目录,如将启动项路径强制修改为c:\\test目录,放入其中的文件会自动启动且在Autoruns中搜索不到,提醒分析病毒时注意注册表项修改操作。

一般情况下,木马会释放文件到启动项目录,但同时也很容易被Autoruns这类工具检测出来
在这里插入图片描述

开始菜单启动项路径:
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

其实这个路径是保存在一个注册表项中的,如果我们将其注册表中的值替换成其他路径,也就是指定了其他路径,作为开机启动目录

查询注册表中指定的启动项路径:
reg query "hkcu\software\microsoft\windows\currentversion\explorer\user shell folders" /v startup

将启动项路径强制修改成c:\test目录
reg add "hkcu\software\microsoft\windows\currentversion\explorer\user shell folders" /v startup /t REG_SZ /d "c:\test" /f

此时如果我将一个文件demo.exe,放到c:\test\目录中,然后注销、再登录,demo.exe将会自动启动。

并且在Autoruns中搜索不到相关文件,如下图所示:

在这里插入图片描述

因此,我们在分析病毒时,要注意对这个注册表项的修改操作
**hkcu\software\microsoft\windows\currentversion\explorer\user shell folders**

[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
那些“躲避”微软autoruns工具的方法
weixin_33921089的博客
11-08 350
【转】http://bobao.360.cn/learning/detail/4666.html 背景在第七届的DerbyCon大会上, Chris Bisnett和Kyle Hanslovan发表了一个名叫“Evading Autoruns”的演讲。在这篇演讲中, Kyle 和Chris展示了绕过微软Sysinternals Autoruns工具检查的方法。他们主要利用“P...
绕过卡巴斯基主动防御系统方法的讨论
10-15 2066
 |=---------------------------------------------------------------------------=||=-----------------=[  绕过卡巴斯基主动防御系统方法的讨论  ]=----------------=||=--------------------------------------------------------
中文版系统启动项管理工具Autoruns实战使用指南
最新发布
weixin_42591908的博客
10-07 1298
等,便于后续程序解析。
白加黑加载方式_利用白加黑原理 绕过杀软主动防御
weixin_29616999的博客
01-13 2296
如何绕过杀软主动防御?且看这篇文章渡尽劫波兄弟在,相逢一笑泯恩仇。——鲁迅利用白文件绕过杀软的主动,可以追溯到很久之前。我在看雪看到一篇关于白加黑的文章时候还是在13年,当时也有人在研究白加黑。所谓白加黑,原理大概可以概括为:恶意程序的调用藏匿于白程序代码中,表面无壳,有一定欺骗性。一般的话,利用带有数字签名(白名单)的白文件调用DLL时的漏洞达到调用黑DLL执行恶意代码。但是现在许多的DLL和E...
银狐病毒如何绕过传统杀软?腾讯电脑管家的主动防御体系如何应对?
程序员小灰的博客
07-17 2585
哪个进程在“代按键盘”,鼠标坐标、按键内容(脱敏显示),事件频率——正常脚本 vs 远控木马一秒几十次的异常节奏,一旦发现「后台进程高频输入」或「无窗口进程偷偷移动光标」,立即标红预警。虽然腾讯电脑管家与微信可以说是师出同门,但是据报道的资料,显示腾讯电脑管家已经将防远控技术能力输出给微信团队了,在识别和防范远程控制木马(如"银狐")方面已经有一些应用了。),只给它们“绿灯”。它不像病毒那样会直接把你的电脑搞崩溃,但它更危险:它可以悄悄地躲在你电脑里,监视你的一举一动,甚至把你的重要资料偷偷发给黑客。
AutoRuns下载安装使用教程(图文教程)超详细
热门推荐
wangyuxiang946的博客
01-17 2万+
AutoRuns 是微软提供的一款「启动项管理」工具,常在应急响应时查找启动项留下的后门。本篇文章详细介绍 AutoRuns 常用操作、界面功能介绍,并提供实战案例及思路。
深入解析系统启动项管理工具Autoruns
8. **WMI(Windows Management Instrumentation)事件订阅**:一种隐蔽的持久化方法,攻击者可通过 WMI 创建永久性事件消费者,在特定条件下触发程序执行,极难被常规杀毒软件发现。 9. **LSA(Local Security ...
Autoruns、PE工具与解锁器集成杀毒优化套装
在这种环境下,可以绕过正在运行的操作系统的限制,直接访问硬盘文件系统,进而对感染病毒的系统进行彻底清理。例如,某些顽固型木马会在系统运行时锁定自身文件或注入系统进程,导致无法删除;但在PE环境下,由于...
【驱动签名与启动项管理】:管理启动项绕过未签名驱动的专家技巧
![【驱动签名与启动项管理】:管理启动项绕过未签名驱动的专家技巧]...本文还特别关注了未签名驱动的管理方法和绕过技巧,特别是在安全检查和专家
[ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项(附Autoruns安装教程)
qq_51577576的博客
04-12 8390
[ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项(附Autoruns安装教程)
启动项管理工具Autoruns使用实验(20)
yyj1781572的博客
03-06 3495
AutoRuns是一款启动项目管理工具,作用就是检查开机自动加载的所有程序,例如硬件驱动程序,windows核心启动程序和应用程序.它比windows自带的msconfig.exe还要强大,通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序.还能够详细的把启动项目加载的所有程序列出来。
Windows 开机启动 | 启动项管理 | Autoruns
梓芮
02-29 4584
Autoruns 是一款由 Sysinternals(现在是微软的一部分)开发的系统工具,管理 Windows 系统启动时自动加载的程序、服务和驱动程序。还可以检测和管理系统启动项,包括注册表、启动文件夹、计划任务等。任何启动监视器自动启动位置都有全面展示,显示在系统启动或登录期间,以及在启动过程中各种内置 Windows 应用(如 Internet Explorer、Explorer 和媒体播放器)时,运行的应用程序。这些程序和驱动程序包含在启动文件夹、Run、RunOnce 和其他注册表项具体路径。
Autoruns
weixin_40332490的博客
01-18 1298
打开:打开之前保存的后缀为arn的自启信息文件。保存:将当前的自启信息保存为arn文件对比:将现有的自启信息与之前保存的含有自启信息的arn文件进行对比,以发现两者的不同之处,常用于对比运行前后的自启动信息。刷新:刷新自启信息,重新检查主机上的自启信息。
Autoruns:全面掌握Windows启动项的必备软件
weixin_42476987的博客
07-20 1392
Autoruns是Windows操作系统中的一款高级启动项管理工具,由著名的开发者小组Sysinternals提供。这一工具的出现,解决了许多IT专家在系统维护过程中对自动启动程序进行控制与管理的难题。通过深入剖析Autoruns,我们不仅可以了解到该软件对系统启动过程的详细控制,还能发现它在防御恶意软件和优化系统启动时间方面的巨大作用。开发者Sysinternals自成立以来,就以提供一系列高端的系统管理工具而广受好评。
Autoruns-功能强大的微软官方自启动检测工具
weixin_44089500的博客
04-08 2089
Users” 菜单中会列出用户名.选择其中一个用户名,即可查看该账户的自启动信息.
深入掌握Autoruns:管理和优化系统启动项
weixin_35732273的博客
07-28 976
在今天的数字时代,计算机安全和性能变得尤为重要。而掌握一个强大的系统工具,对于确保系统安全和优化性能至关重要。Autoruns正是这样一款工具,它由微软的Sysinternals工具包提供,允许用户查看和管理Windows系统的启动项。这些启动项包括从登录到系统时自动加载的程序和服务,到定时运行的任务以及系统启动时运行的驱动程序。Autoruns提供了深入的细节,让IT专家可以直观地识别哪些程序是系统运行不可或缺的,哪些可能是恶意软件或仅是不需要的残留软件。
目录穿越及其绕过
web1的博客
09-01 8014
1、目录遍历读取任意文件(相对路径) ?filename=37.jpg /var/www/images/37.jpg …/…/…/etc/passwd 2、绝对路径 3、过滤 …/ ,重写即可 修改filename参数,赋予其值:…//…//…//etc/passwd …//…//…//etc/passwd …/…/…/etc/passwd 4、使用各种url编码(例如…%c0%af或…%252f)来绕过输入过滤器 修改filename参数,赋予它值…%252f…%252f…%252fetc/passw
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值