Regsvcs/Regasm

对手可能会滥用Regsvcs和Regasm，通过受信任的Windows实用程序代理执行代码。Regsvcs和Regasm是用于注册.NET 组件对象模型 (COM) 程序集的Windows命令行实用程序。两者都是可能由Microsoft数字签名的二进制文件。(引用: MSDN Regsvcs)(引用: MSDN Regasm) 这两个实用程序可以通过使用二进制文件中的属性来指定在注册或注销之前应运行的代码来绕过应用程序控制：[ComRegisterFunction]或[ComUnregisterFunction]。即使进程在权限不足的情况下运行并且执行失败，带有注册和注销属性的代码也会执行。(引用: LOLBAS Regsvcs)(引用: LOLBAS Regasm)