文章总结： 本文介绍了JHeart工具，用于在CS平台中扫描目标机器启动项的白加黑DLL劫持利用机会以实现权限维持。工具通过检测已启用启动项、目录可写权限和白程序签名等条件，快速发现可行的维权点，解决了传统权限维持方法易被杀软检测的问题。文章提供了详细的实现逻辑、效果演示、使用方法和下载地址，具有较高的实战价值。 综合评分： 77 文章分类： 红队,渗透测试,实战经验,安全工具,内网渗透

【权限维持BOF】：JHeart 一键扫描上线主机“白加黑”维权点

原创

m1cr0f m1cr0f

低级可持续性没威胁

2026年3月26日 20:28 吉林

【起因】

当在和国内各种杀软对抗一番能做到免杀后；自然会想到下一步，做权限维持。但是，无论是改注册表、添加计划任务都很难绕过360的检测。

当我在翻各种公开的维权思路的时候，翻到Maoku师傅在他的公众号【毛酷红队】分享他在实战攻防中的维权思路。

结合香菜师傅早期版本开源的ZeroEye，便有了想做扫描启动项”白加黑“利用BOF的想法。

【实现逻辑】

• • 扫描目标机器启动项程序所在目录的所有程序是否可以“白加黑利用”
• • 该启动项的状态是“已启用”
• • 启动项程序所在目录有可写权限，方便后续写入“黑dll”
• • 白程序需要有签名

【效果】

03/26 18:48:37 beacon> jheart
03/26 18:48:37 [*] Tasked beacon to run JHeart: Scanning for white-app DLL hijacking opportunities ...
03/26 18:48:57 [+] host called home, sent: 6241 bytes
03/26 18:49:00 [+] received output:
[*] JHeart Scanning (Active Items Only) Started...
03/26 18:49:00 [+] received output:
[+] HIJACK: C:\Users\test\AppData\Roaming\baidu\BaiduNetdisk\ShellFolder64.exe (x64) -> Missing: ShellFolderDepend64.dll
    Path: C:\Users\test\AppData\Roaming\baidu\BaiduNetdisk

03/26 18:49:00 [+] received output:
[+] HIJACK: C:\Users\test\AppData\Roaming\baidu\BaiduNetdisk\ShellFolder64.exe (x64) -> Missing: ShellFolderDepend64.dll
    Path: C:\Users\test\AppData\Roaming\baidu\BaiduNetdisk

03/26 18:49:00 [+] received output:
[+] HIJACK: C:\QuarkCloudDrive\quark_cloud_drive.exe (x64) -> Missing: quark_cloud_drive_elf.dll
    Path: C:\QuarkCloudDrive

03/26 18:49:00 [+] received output:
[*] Scan Completed.

【使用方法】

保持该目录结构，将cna文件添加进CS，beacon交互窗口输入jheart即可开启扫描。

【下载地址】

https://github.com/m1crofan/JHeart

【鸣谢】

毛裤红队：https://mp.weixin.qq.com/s/bkeuNgBG-SC2INH2nd4vNw

ZeroEye : https://github.com/ImCoriander/ZeroEye

gemini : https://gemini.google.com/

jxx

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：低级可持续性没威胁 m1cr0f m1cr0f《【权限维持BOF】：JHeart 一键扫描上线主机“白加黑”维权点》