bypass uac的检测分析(不定期更新)

近期公司内部在做bypass uac的攻击检测,我也在这里记录一下分析检测的过程。

1.eventvwr bypass_uac

eventvwr 在启动的时候会去查询该注册表中的数据\HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
如果这个注册表存在,则按照其中设定的值进行调用相关程序。

如果不存在则会去寻找\HKEY_CLASSES_ROOT\mscfile\shell\open\command,按照其中的值去启动。


测试一下,我们去创建一下这个注册表\HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command

总结

要监控eventvwr bypass 只需监控\HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command 这个注册表即可。

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容