-
-
[翻译]自启动方式 No.96(大意)
-
发表于: 2019-4-17 23:11 5863
-
声明:本文及其软件仅用于学习交流,请勿用于商业用途和违法行为,使用产生的后果由使用者承担,本作者不承担任何法律责任和风险。如需转载请注明一下出处,谢谢~。
---------- ---------- ---------- ---------- ---------- No.96 ---------- ---------- ---------- ---------- ----------
原文:http://www.hexacorn.com/blog/2018/12/21/beyond-good-ol-run-key-part-96/
今天,在浏览注册表时,我遇到了一组奇怪的乱码注册表键:
HKCU\Software\Microsoft\Payment\PaymentApps
不确定它们是什么,但是当我用父键名搜索(grep)win10的DLL时,我发现这个DLL名为semgrsvg.dll。
DLL的内部名称是“NFC SE 管理服务DLL”(‘NFC SEManagement Service DLL’)。google后,我快速找到了这个帖子(http://batcmd.com/windows/10/services/semgrsvc/)。它指的是“支付和NFC/SE管理者”服务。(一种只存在于win10的服务,用于管理基于支付和近场通信(NFC)的安全元件。)
浏览DLL代码时,我发现了一个可能的持久性机会。我不能测试它,因为我真的不知道它在什么环境下使用,但是记录下来,以防有人想要查看,或者某一天它真的有用:
HKLM\Software\Microsoft\SEMgr\Wallet\DllName=<file>
当创建钱包实例时,使用LoadLibraryW加载<file>,然后执行由钱包DLL导出的API GetMockWalletCOMInstance。
如果你知道如何使用他,请联系我,谢谢。
如果你知道如何使用他,请联系我,谢谢。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
赞赏
他的文章
- [翻译]红队战术:隐藏Windows服务(大意) 10913
- [翻译]自启动方式 No.96(大意) 5864
- [翻译]自启动方式 No.94 No.95(大意) 6215
- [翻译]自启动方式 No.93(大意) 5776
- [求助]通讯框架 3156
看原图
赞赏
雪币:
留言: