COM Hijacking
COM Hijacking
Mở bài
- Bài này sẽ tóm tắt nhanh kĩ thuật COM Hijacking thông Windows Thumbnail Cache - lợi dụng việc load DLL bằng explorer.exe để thực thi mã độc
Thân bài
COM là gì
Thứ tự tìm kiếm hive trong Registry
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE
- HKEY_CLASSES_ROOT
Cách thực hiện
- Đăng kí một reg trong
- HKEY_CURRENT_USER (HKCU) – ưu tiên cho user hiện tại Computer\HKEY_CURRENT_USER\Software\Classes\CLSID
- Xóa thumbcache
- Remove-Item -Path “$env:LOCALAPPDATA\Microsoft\Windows\Explorer\thumbcache_*.db” -Force -ErrorAction SilentlyContinue
- Dung explorer va khoi dong lai
Stop-Process -Name explorer -Force
Start-Process explorer.exe
Uư điểm
- Tránh bị monitor
This post is licensed under CC BY 4.0 by the author.