首页
社区
课程
招聘
[翻译]自启动方式 No.96(大意)
发表于: 2019-4-17 23:11 5863

[翻译]自启动方式 No.96(大意)

2019-4-17 23:11
5863

声明:本文及其软件仅用于学习交流,请勿用于商业用途和违法行为,使用产生的后果由使用者承担,本作者不承担任何法律责任和风险。如需转载请注明一下出处,谢谢~。


---------- ---------- ---------- ---------- ---------- No.96 ---------- ---------- ---------- ---------- ----------


原文:http://www.hexacorn.com/blog/2018/12/21/beyond-good-ol-run-key-part-96/

今天,在浏览注册表时,我遇到了一组奇怪的乱码注册表键:

HKCU\Software\Microsoft\Payment\PaymentApps

不确定它们是什么,但是当我用父键名搜索(grep)win10的DLL时,我发现这个DLL名为semgrsvg.dll。
DLL的内部名称是“NFC SE 管理服务DLL”(‘NFC SEManagement Service DLL’)。google后,我快速找到了这个帖子(http://batcmd.com/windows/10/services/semgrsvc/)。它指的是“支付和NFC/SE管理者”服务。(一种只存在于win10的服务,用于管理基于支付和近场通信(NFC)的安全元件。
浏览DLL代码时,我发现了一个可能的持久性机会。我不能测试它,因为我真的不知道它在什么环境下使用,但是记录下来,以防有人想要查看,或者某一天它真的有用:

HKLM\Software\Microsoft\SEMgr\Wallet\DllName=<file>

当创建钱包实例时,使用LoadLibraryW加载<file>,然后执行由钱包DLL导出的API GetMockWalletCOMInstance。
如果你知道如何使用他,请联系我,谢谢。

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//