辅助功能

对手可能会通过执行由辅助功能触发的恶意内容来建立持久性和/或提升权限。Windows 包含辅助功能，可以在用户登录之前通过按键组合启动（例如：当用户在 Windows 登录屏幕上时）。对手可以修改这些程序的启动方式，以在不登录系统的情况下获得命令提示符或后门。 两个常见的辅助程序是C:\Windows\System32\sethc.exe，按下五次 Shift 键时启动，以及C:\Windows\System32\utilman.exe，按下 Windows + U 键组合时启动。sethc.exe 程序通常称为“粘滞键”，对手已使用它通过远程桌面登录屏幕进行未经身份验证的访问。(引用: FireEye Hikit Rootkit) 根据 Windows 的版本，对手可能会以不同方式利用这些功能。对手常用的方法包括替换辅助功能二进制文件或注册表中指向这些二进制文件的指针/引用。在较新的 Windows 版本中，替换的二进制文件需要为 x64 系统进行数字签名，二进制文件必须位于%systemdir%\，并且必须受 Windows 文件或资源保护 (WFP/WRP) 保护。(引用: DEFCON2016 Sticky Keys) 可能发现图像文件执行选项注入调试器方法作为一种潜在的解决方法，因为它不需要替换相应的辅助功能二进制文件。 对于 Windows XP 及更高版本以及 Windows Server 2003/R2 及更高版本上的简单二进制替换，例如，可以将程序（例如C:\Windows\System32\utilman.exe）替换为“cmd.exe”（或提供后门访问的其他程序）。随后，在登录屏幕上按下适当的键组合时，无论是坐在键盘前还是通过远程桌面协议连接，都将导致以 SYSTEM 权限执行替换的文件。(引用: Tilbury 2014) 还存在其他辅助功能，可能以类似方式被利用：(引用: DEFCON2016 Sticky Keys)(引用: Narrator Accessibility Abuse) * 屏幕键盘：C:\Windows\System32\osk.exe * 放大镜：C:\Windows\System32\Magnify.exe * 讲述人：C:\Windows\System32\Narrator.exe * 显示切换器：C:\Windows\System32\DisplaySwitch.exe * 应用切换器：C:\Windows\System32\AtBroker.exe