768 B
768 B
替换文件
这是一种比较无脑,但是某种程度上还挺好用的方法。
简单的说就是替换现有的自启动文件,最好的例子大概就是Onedrive了。不需要管理员权限就可以结束进程,并且目录可写,Win10默认会自启动。
简单利用示例:
taskkill /f /im OneDrive.exe
copy c:\Temp\qwqdanchun.exe %LocalAppData%\Microsoft\OneDrive\OneDrive.exe
另外,也可以修改浏览器等的快捷方式来实现被动启动的效果。具体实现将在后文LNK文件格式处详细讨论。
一例修改现有应用文件的攻击:
{% embed url="https://blog.trendmicro.com/trendlabs-security-intelligence/attack-gains-foothold-against-east-asian-government-through-auto-start/" caption="" %}