Комментарии 6
Можно попробовать другой подход: в reg-файле описать 2 ключа, один содержит большой бинарник, и вставляется куда-то в HKEY_CLASSES_ROOT, где легко затеряться.
А второй ключ — в RunOnce, и содержит простой powershell-скриптик, который читает из реестра и сохраняет в файл в папке TEMP бинарник из первой части и запускает этот файл.
Спасибо, получается если если "размазать" по hex ключам бинарь в HKEY_CLASSES_ROOT, и потом собрать обрать бинарь получается куда скрытнее получается.
Можно сохранить в реестре длинный powershell-скрипт, а в автозапуске считывать его из реестра и делать Invoke-Expression
. И уже в этом длинном скрипте делать всё, что надо. И бинарь по кускам пилить не надо, в другой ключик одним куском кинуть.
И запускаться при перезагрузке не очень интересно. Можно в планировщик заданий добавить задачу, они тоже в реестре хранятся.
(написать ответную заметку, что ли? как-то затягивает)
Другой недостаток — основная полезная нагрузка не выполняется до следующей перезагрузки
https://attack.mitre.org/techniques/T1218/011/
Вопрос только чего и сколько можно впихнуть в скрипт с этой техникой
Встраиваем вирусный exe в файл *.reg