它简单、直观、轻量级且无依赖性。
.reg 有效负载的主要目的是使用各种技术(包括与 UAC 绕过技术的结合)添加持久性。它还能够搞乱其他一些注册表设置。
尽管 .reg 文件基本上是文本文件,但事实证明向其中添加二进制数据不会破坏它,并且 .reg 文件仍会被正确解析。这一事实使您可以用大量乱码数据混淆 .reg 文件,并让用户相信该文件是不可读的二进制文件。因此,向 RegStrike 提供要添加的混淆量,它就可以满足您的要求。
人们希望将 .reg 用作有效负载的主要原因之一是因为 AV 产品的检测率非常低,而且显然混淆甚至进一步降低了检测率。
例如,这里有一个 .reg 负载示例,它使用Silent Process Exit技术进行持久化:
它对 VT 的检测非常低:
会使它归零
项目地址:https://github.com/itaymigdal/RegStrike
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里