创建隐藏注册表项的工具:SharpHide
- 发表于
- 安全工具
SharpHide
一个很好的创建隐藏注册表项的持久性技巧,干扰和绕过DFIR调查。使用NtSetValueKey本机API创建隐藏(空指针)的注册表项。这是通过在UNICODE_STRING键值名称的前面添加一个空字节来实现的。
该工具使用以下注册表路径在其中创建隐藏的运行密钥:
(user为HKCU,否则为HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SharpHide使用
项目,你需要自行编译:https://github.com/outflanknl/SharpHide
创建隐藏的注册表(运行)键:
|
1 |
SharpHide.exe action=create keyvalue="C:\Windows\Temp\Bla.exe" |
使用参数创建隐藏的注册表(运行)键:
|
1 |
SharpHide.exe action=create keyvalue="C:\Windows\Temp\Bla.exe" arguments="arg1 arg2" |
删除隐藏的注册表(运行)键:
|
1 |
SharpHide.exe action=delete |
该工具还可以与Cobalt Strike的execute-assembly配合使用,自由发挥。
原文连接:创建隐藏注册表项的工具:SharpHide
所有媒体,可在保留署名、
原文连接的情况下转载,若非则不得使用我方内容。
