ShimBad the Sailor, Part 3 嗯，用户让我用中文总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写文章描述即可。 首先，我需要通读文章，抓住主要信息。文章主要讲的是Windows 11引入了新的Shim相关功能。Shim数据库新增了两个进程名称：SdbMergeTestEntry_Added_Exe_Item.exe和SdbMergeTestEntry_Added_Exe_Item_InboxApp.exe。当运行这些程序时，会显示特定的消息。 此外，Windows 11的二进制文件处理Shim时引用了一些文件夹路径，比如%windir%\apppatch\AcPluginDlls\Plugin及其子目录。这些路径下有测试用的AcPluginDlls插件，如AcPlugin_Test.dll和AcPlugin_Test2.dll。这些插件可能被用于持久性和隐蔽代码注入。 相关的系统库包括apphelp.dll、pcasvc.dll和appraiser.dll，但作者尚未详细研究它们的工作机制。 总结起来，文章介绍了Windows 11在Shim数据库方面的增强，新增了进程名称和插件路径，并提到了可能的安全应用。 接下来，我需要将这些信息浓缩到100字以内，并且直接描述内容。确保涵盖新增进程、插件路径、相关系统库以及潜在的安全用途。 </think> Windows 11引入了新的Shim功能，新增了两个特殊进程名称，并扩展了与插件相关的文件夹路径。这些更新可能为持久性和隐蔽代码注入提供了潜在机制。... 2026-2-26 01:16:0 | 阅读: 16 | 收藏 | Hexacorn - www.hexacorn.com apppatch windows acplugin shim

1 little known secret of sti_ci.dll 好的，我现在要帮用户总结一篇文章的内容，控制在100个字以内。首先，我需要仔细阅读用户提供的文章内容。 文章主要讲的是sti_ci.dll这个DLL文件通过导出函数InstallWiaService来执行安装命令。作者提到可以通过rundll32.exe来调用这个API，进而运行多个注册表和DLL注册命令。这可能带来一些lolbin的机会，但因为rundll32.exe是从system32目录执行的，所以程序会优先查找该目录下的可执行文件和DLL。为了解决这个问题，可以将rundll32.exe复制到其他目录再运行。 此外，sti_ci.dll还会在wiatrace.log文件中记录执行的命令，位置可能在%systemroot%\Debug\WIA或用户AppData目录下。 现在，我需要将这些信息浓缩到100字以内。重点包括：sti_ci.dll导出InstallWiaService函数，通过rundll32调用执行多个注册命令，可能用于lolbin攻击；解决rundll32路径问题的方法；以及日志记录功能。 确保语言简洁明了，不使用任何复杂的术语，并且直接描述内容。 </think> 文章描述了通过`sti_ci.dll`的`InstallWiaService`函数使用`rundll32.exe`执行安装命令的方法，并列举了其运行的多个程序。该方法可能带来lolbin攻击机会，但需解决路径问题。此外，`sti_ci.dll`会在系统中生成日志文件记录执行命令。... 2026-2-21 20:23:40 | 阅读: 14 | 收藏 | Hexacorn - www.hexacorn.com dllregsvr32 sti rundll32 wiatrace regsvr32

WinHttpOpen user agents 好的，我现在需要帮用户总结一篇关于Windows 11内部使用的WinHttp用户代理的文章。用户要求用中文总结，控制在100字以内，不需要特定的开头。 首先，我应该理解文章的主要内容。文章提到当调用WinHttpOpen API时，可以指定用户代理，Windows 11内部使用了很多这样的API，并列出了很多具体的用户代理名称。 接下来，我需要将这些信息浓缩成一句话。重点在于Windows 11内部使用的各种WinHttp用户代理列表。要注意简洁明了，避免冗长。 然后，我要确保语言流畅，没有语法错误，并且符合用户的格式要求。不需要使用“文章内容总结”之类的开头，直接描述即可。 最后，检查字数是否在限制范围内，确保不超过100字。 </think> 文章列出了Windows 11内部使用的多种WinHttp用户代理，包括Activation UX Library、Microsoft BITS/7.8、Mozilla/4.0等。... 2026-2-14 22:40:15 | 阅读: 5 | 收藏 | Hexacorn - www.hexacorn.com windows client microsoft winhttp proxy

1 little known secret of CompatTelRunner.exe 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。首先，我得仔细阅读用户提供的文章内容。 文章讲的是运行CompatTelRunner.exe这个程序，加上/test:whatever参数。运行后，程序会睡眠正好1秒钟。不管whatever是什么字符串，只要长度至少1个字符就行。 那我需要把这些信息浓缩到100字以内。可能的结构是：运行CompatTelRunner.exe /test:参数，程序会睡眠1秒，参数可以是任意长度至少1的字符串。 检查一下是否符合要求：没有使用指定的开头，控制在了字数内。看起来没问题。 </think> 运行CompatTelRunner.exe /test:参数时，程序将睡眠1秒，参数可为任意长度≥1的字符串。... 2026-2-14 20:17:15 | 阅读: 4 | 收藏 | Hexacorn - www.hexacorn.com

1 little known secret of net.exe 好的，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要理解文章的内容。文章主要讲的是Windows 11 24H2+和Windows Server 2025+中新增的net.exe命令行参数，用于配置替代的SMB端口，包括TCP、QUIC和RDMA。 接下来，我得确定如何简洁地表达这些信息。用户要求直接写描述，所以不需要“这篇文章总结”之类的开头。我应该提到操作系统版本、新增的功能以及具体的端口类型。 然后，我要注意字数限制，确保不超过100字。可能需要简化一些术语，比如“配置替代SMB端口”来代替更详细的描述。 最后，检查一下是否涵盖了所有关键点：操作系统版本、net.exe命令、三种端口类型。确保信息准确且简洁明了。 </think> Windows 11 24H2+ 和 Windows Server 2025+ 引入了新的 net.exe 命令行参数，允许用户配置替代 SMB 端口（TCP、QUIC 和 RDMA）。... 2026-2-14 00:43:35 | 阅读: 7 | 收藏 | Hexacorn - www.hexacorn.com windows 24h2 rdma tcpport quicport

1 little known secret of icacls.exe 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，并且不需要特定的开头。首先，我得仔细阅读用户提供的文章内容。 文章主要介绍了一个叫做icacls.exe的Windows工具，它用于管理文件和文件夹的访问控制列表（ACL）。这个工具在Windows Vista及以后的版本中可用，取代了旧的cacls命令。它不仅支持查看、修改、备份和恢复ACL，还提到了一个未公开的/dbg参数，可以显示更详细的信息。 接下来，我需要将这些信息浓缩到100字以内。重点包括：icacls.exe的功能、用途、替代旧工具以及新增的/dbg参数。要确保语言简洁明了，直接描述内容。 可能会遇到的问题是如何在有限的字数内涵盖所有关键点。可能需要舍弃一些细节，比如具体命令示例，只保留主要功能和参数的存在。 最后，检查字数是否符合要求，并确保没有使用任何不必要的开头词。 </think> 文章介绍了Windows中的icacls.exe工具，用于管理文件和文件夹的访问控制列表（ACL），并提及其新增的未公开/dbg参数以显示更详细信息。... 2026-2-14 00:22:45 | 阅读: 7 | 收藏 | Hexacorn - www.hexacorn.com icacls dbg continuing lesser windows

Beyond good ol’ Run key, Part 156 文章探讨了通过修改Windows注册表中的购买、下载和卸载链接等条目进行恶意攻击的可能性，例如将合法软件的购买链接篡改为指向恶意文件的路径，从而实现持久化或远程控制。... 2026-1-3 23:52:8 | 阅读: 15 | 收藏 | Hexacorn - www.hexacorn.com software download windows dead bulk

Beyond good ol’ Run key, Part 155 文章探讨了利用GOG游戏平台实现持久性的一种方法。通过修改注册表中与GOG游戏相关的键值（如SOFTWARE\GOG.com\Games\*），将原本指向GOG DLL的值替换为代理DLL，从而在受监控环境中维持存在。... 2026-1-3 20:8:27 | 阅读: 18 | 收藏 | Hexacorn - www.hexacorn.com gog software heavily 1207662533 leveraging

Beyond good ol’ Run key, Part 154 文章介绍了Windows系统中一种基于Ghostscript软件套件的持久化机制。通过修改注册表中`(HKCU|HKLM)\Software\GPL Ghostscript\<version>\GS_DLL`条目指向恶意DLL文件，攻击者可实现持久化和恶意活动。此外，该机制还可通过环境变量进一步滥用。... 2026-1-2 14:7:43 | 阅读: 11 | 收藏 | Hexacorn - www.hexacorn.com software ghostscript windows lolbin leveraged

Beyond good ol’ Run key, Part 152 文章介绍了一种Windows系统的持久化机制，通过注册表路径HKLM\Software\Microsoft\MSDTC\XADLL存储可被操作系统加载的DLL文件列表。... 2025-12-31 23:8:39 | 阅读: 16 | 收藏 | Hexacorn - www.hexacorn.com microsoft forgot windows software msdtc

Beyond good ol’ Run key, Part 149 – update 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内。首先，我需要理解文章讲的是什么。看起来这篇文章是关于Windows防火墙的一个持久化机制，作者之前尝试过但没有成功，后来找到了方法。 文章提到使用rundll32.exe调用fwpolicyiomgr.dll中的LoadGPExtensionDll函数，加载注册表中指定的DLL。这可能是一个安全绕过的方法，或者是用来持久化恶意软件的手段。 用户的要求是用中文总结，不需要特定的开头，直接描述内容。我得确保在100字以内准确传达关键点：持久化机制、GPExtensionDLL注册表项、触发方法和使用的函数。 可能还需要考虑读者的理解背景，所以术语要准确但不过于复杂。比如“持久化机制”可能需要解释一下是什么意思，但用户已经限定了字数，所以只能简要提及。 最后，检查一下是否所有关键点都涵盖了：机制名称、触发方式、函数名和注册表路径。确保没有遗漏重要信息。 </think> 文章描述了通过注册表项`HKLM\System\CurrentControlSet\Services\mpssvc\Parameters\GPExtensionDLL`加载DLL的持久化机制，并介绍了使用`rundll32.exe fwpolicyiomgr.dll, LoadGPExtensionDll`触发该功能的方法。... 2025-12-31 00:48:11 | 阅读: 13 | 收藏 | Hexacorn - www.hexacorn.com rundll32 mpssvc

1 little secret of sqlsrv32.dll 文章探讨了通过分析`sqlsrv32.dll`的加载过程发现`BidInterface`接口，并展示了如何通过注册表项和路径匹配实现自定义DLL的加载。... 2025-12-7 00:1:10 | 阅读: 29 | 收藏 | Hexacorn - www.hexacorn.com rundll32 sqlsrv32 library pointing

1 little secret of cliconfg.dll 文章介绍了一种侧加载技术，利用cliconfg.dll的DllMain函数加载特定RLL文件（如cliconfg.RLL），通过rundll32调用DLL的不同API或序号触发payload执行。... 2025-12-6 09:46:26 | 阅读: 27 | 收藏 | Hexacorn - www.hexacorn.com cliconfg rundll32 rll payload

1 little secret of mapi32.dll 好的，我需要帮用户总结一篇文章，控制在100字以内。首先，我得通读文章，理解主要内容。 文章主要讲的是mapi32.dll这个文件的作用，它作为一个代理DLL，处理MAPI API调用。里面提到了GetProxyDllEx函数，负责寻找目标邮件客户端库。还提到了注册表项HKLM\SOFTWARE\Clients\Mail\AlwaysUseLegacyMapiRegistration，影响MAPI提供程序DLL的搜索方式。 另外，文章还提到如果将mapisvc.inf放在PATH路径下，并通过rundll32.exe调用mapi32.dll的LaunchWizard函数，可能会加载C:\Windows\System32\mapi32x.dll。这个DLL是否存在取决于操作系统版本。 总结时需要涵盖这些关键点：mapi32.dll的作用、GetProxyDllEx的功能、注册表的影响以及潜在的安全利用方式。同时要保持简洁，控制在100字以内。 可能的结构是：先介绍mapi32.dll的作用和机制，然后提到注册表的影响，最后说明利用方法和结果。这样既全面又简洁。 </think> mapi32.dll是一个代理DLL，通过GetProxyDllEx函数寻找目标邮件客户端库以实现MAPI功能。其行为受注册表项控制，并可能加载系统中不存在的mapi32x.dll文件以实现特定功能或注入恶意代码。... 2025-12-6 00:7:49 | 阅读: 30 | 收藏 | Hexacorn - www.hexacorn.com mapi mapi32x mapi32 rundll32 client

DeXRAY v2.36 Brian作为DeXRAY的支持者，修复了处理Windows Defender文件时的代码错误，解决了解密文件大小和哈希值不正确的问题。... 2025-12-3 21:10:2 | 阅读: 19 | 收藏 | Hexacorn - www.hexacorn.com brian supporters dexray fixing defender

More hidden Phantom DLLs Pretty much all of the phantom DLL scenarios that I have been describing over the years are... 2025-11-29 02:4:39 | 阅读: 6 | 收藏 | Hexacorn - www.hexacorn.com phantom chasing invoked referencing

A silly rundll-ish feature of ShellAbout function… When you run winver it calls the shell32.dll!ShellAbout function to display the following dialog... 2025-11-27 23:28:55 | 阅读: 29 | 收藏 | Hexacorn - www.hexacorn.com hwnd lpcstr rundll32 dialog hicon

Enter Sandbox 31: Web Shells Webshells are malicious scripts/programs that are uploaded to compromised web servers. Most webs... 2025-11-26 00:46:25 | 阅读: 30 | 收藏 | Hexacorn - www.hexacorn.com analysis webshells php download lucky

Some unusual run-time rundll32.exe artifacts If you use Process Monitor as often as I do, you probably know that loading a DLL via rundl... 2025-11-16 20:53:51 | 阅读: 13 | 收藏 | Hexacorn - www.hexacorn.com rundll32 produces curious rundll initactctx

1 or more little secrets of disksnapshot.exe This native tool is not very well known, but it may be useful in some cases.The tool seems t... 2025-11-16 00:8:47 | 阅读: 19 | 收藏 | Hexacorn - www.hexacorn.com windows telemetry specifies curtime