一级毛片免费播放无码全部,亚洲欧美日韩有码在线观看

Windows注冊表是一個龐大而復雜的話題，因此，我們根本不可能通過一篇文章講清楚。然而，從安全的角度來看，一個特別值得關(guān)注的領(lǐng)域是注冊表運行鍵。在這篇文章中，我們將探討誰在使用運行鍵，如何發(fā)現(xiàn)該鍵的濫用情況，以及如何根除系統(tǒng)中的惡意運行鍵。
運行鍵簡介
什么是注冊表運行鍵？運行鍵是注冊表的一種開機運行機制：當用戶登錄或機器啟動時，在Windows系統(tǒng)上執(zhí)行一些程序。
由于運行鍵很容易引發(fā)安全問題，所以，它自然會成為攻擊者的研究對象。例如，F(xiàn)ancy Bear（也被稱為APT28）、TA456和Group 123都喜歡用運行鍵來實現(xiàn)對被攻擊網(wǎng)絡(luò)的權(quán)限維持。同時，運行鍵還可以包含各種形式的惡意內(nèi)容——從簡單的可執(zhí)行文件到充滿宏代碼的電子表格。
MITRE ATT&CK將這種特殊的權(quán)限維持戰(zhàn)術(shù)記為子技術(shù)T1547.001 。在入侵活動中，雖然這種技術(shù)并不常見，然而它卻可以實現(xiàn)權(quán)限維持——因此，我們更有理由進一步探索這種“默默無聞”的技術(shù) 。

雖然高級攻擊者偶爾會利用運行鍵，但我發(fā)現(xiàn)，關(guān)于這種機制的探討卻非常少見。實際上，之所以很少有文章討論這種注冊表功能，并不是因為整個信息安全社區(qū)的技術(shù)差距。相反，運行鍵是Windows注冊表“配置數(shù)據(jù)庫”的一個不太引人注目的可執(zhí)行組件。這意味著與更強大、更知名的攻擊技術(shù)和操作系統(tǒng)組件相比，它們往往沒有得到同等程度的關(guān)注。然而，我最近在信息安全社交圈中看到了下面的討論：

在我們介紹如何檢測惡意運行鍵之前，讓我們先來簡單聊一下Windows注冊表。
Windows注冊表Windows注冊表是一個迷宮般的系統(tǒng) 。從表面上看，它是一個集中式數(shù)據(jù)庫，用于存儲與用戶和機器設(shè)置有關(guān)的信息。不過現(xiàn)實情況卻是，它更像是一個由古怪和奇妙的功能組成的系統(tǒng)；盡管這些功能具有破壞性的潛力，但是，微軟對這些功能的說明并不詳盡。
我可以花幾個小時的時間，來講述關(guān)于Windows注冊表的不一致性和反復無常。同時，試圖了解其潛力的限制和參數(shù)確實會令人抓狂。但是，注冊表的雜亂無章的特性，貌似對攻擊者特別有利，因為這便于藏匿其權(quán)限維護機制，并在網(wǎng)絡(luò)外潛伏，直到藍隊轉(zhuǎn)移視線。
通常情況下，要想?yún)^(qū)分windows注冊表中哪些是良性的，哪些是惡性的，通常是不可能的，特別是在安全事件發(fā)生時。
運行鍵我希望到目前為止，我已經(jīng)講清楚了馴服注冊表是多么的困難。更糟糕的是，微軟對運行鍵的功能的介紹，也是少得令人發(fā)指，因為他們只用了六段話來描述運行鍵。
運行鍵存在于注冊表中。它們是可配置的，當用戶登錄或開機時，允許一個程序執(zhí)行 ?！暗堑纫幌?！”，我聽到你憤怒地喊道，“Windows已經(jīng)有一個任務(wù)調(diào)度器，這就是你安排任務(wù)的方式！??！”
不過，與Windows的任務(wù)調(diào)度器相比，運行鍵還是有一些重要的區(qū)別的，或者說它的功能更加有限。

與Windows任務(wù)調(diào)度器相比，注冊表運行鍵具有下列特點：
字符限制運行鍵只能存儲少于280個字符的命令。因此，攻擊者的one-liner命令的字符數(shù)不能超過這個限制。我希望微軟并不是想以此作為一種底層的防御機制，因為腳本小子的許多反向shell的長度都少于50個字符。