跳转至

修改注册表

对手可能会与Windows注册表交互,以在注册表项中隐藏配置信息,删除信息作为清理的一部分,或作为其他技术的一部分以帮助持久性和执行。 访问注册表的特定区域取决于帐户权限,有些需要管理员级别的访问权限。内置的Windows命令行实用程序Reg可用于本地或远程注册表修改。(引用: Microsoft Reg) 其他工具也可以使用,例如远程访问工具,它可能包含通过Windows API与注册表交互的功能。 注册表修改还可能包括隐藏键的操作,例如在键名之前添加一个空字符,这将在通过Reg或其他使用Win32 API的实用程序读取时导致错误和/或被忽略。(引用: Microsoft Reghide NOV 2006) 对手可能会滥用这些伪隐藏键来隐藏用于保持持久性的有效负载/命令。(引用: TrendMicro POWELIKS AUG 2014) (引用: SpectorOps Hiding Reg Jul 2017) 远程系统的注册表可能会被修改以帮助执行文件作为横向移动的一部分。这需要目标系统上运行远程注册表服务。(引用: Microsoft Remote) 通常需要有效帐户,以及访问远程系统的SMB/Windows管理员共享以进行RPC通信。