创建隐藏注册表项的工具:SharpHide

SharpHide

一个很好的创建隐藏注册表项的持久性技巧,干扰和绕过DFIR调查。使用NtSetValueKey本机API创建隐藏(空指针)的注册表项。这是通过在UNICODE_STRING键值名称的前面添加一个空字节来实现的。

创建隐藏注册表项的工具:SharpHide

该工具使用以下注册表路径在其中创建隐藏的运行密钥:

(user为HKCU,否则为HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

SharpHide使用

项目,你需要自行编译:https://github.com/outflanknl/SharpHide

创建隐藏的注册表(运行)键:

使用参数创建隐藏的注册表(运行)键:

删除隐藏的注册表(运行)键:

该工具还可以与Cobalt Strike的execute-assembly配合使用,自由发挥。

标签: