跳转至

屏幕保护程序

对手可能通过执行由用户不活动触发的恶意内容来建立持久性。屏幕保护程序是在用户不活动的可配置时间后执行的程序,由具有.scr文件扩展名的可移植可执行文件(PE)组成。(引用: Wikipedia Screensaver) Windows屏幕保护程序应用程序scrnsave.scr位于C:\Windows\System32\和64位Windows系统上的C:\Windows\sysWOW64\,以及基本Windows安装中包含的屏幕保护程序。 以下屏幕保护程序设置存储在注册表中(HKCU\Control Panel\Desktop\),可以被操纵以实现持久性: * SCRNSAVE.exe - 设置为恶意PE路径 * ScreenSaveActive - 设置为'1'以启用屏幕保护程序 * ScreenSaverIsSecure - 设置为'0'以不要求密码解锁 * ScreenSaveTimeout - 设置用户不活动超时以执行屏幕保护程序 对手可以使用屏幕保护程序设置通过在用户不活动的某个时间后运行恶意软件来保持持久性。(引用: ESET Gazer Aug 2017)