.NET内网实战：通过扩展名劫持和屏保劫持技术实现注册表权限维持

阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，对内网和后渗透感兴趣的朋友们可以订阅该电子报刊，解锁更多的报刊内容。

基本介绍

本文内容部分节选自小报童《.NET 通过扩展名劫持和屏保劫持技术实现权限维持》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有300+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

原理分析

在 Windows 操作系统中，攻击者通常会利用各种持久化手段，确保恶意代码或者程序能够在系统重启后继续执行。本文将详细分析扩展名劫持和屏保劫持这两种持久化技术的原理、代码实现及其防御方法。

3.1 扩展名劫持

扩展名劫持（Extension Hijacking）是一种通过修改 Windows 注册表，使特定文件类型在被打开时执行攻击者指定的命令的技术。Windows 通过注册表关联不同的文件扩展名与其默认打开方式，比如.txt 文件默认由记事本（Notepad.exe）打开的，如下图所示

以下代码实现了修改 .txt 文件的默认打开方式，将其指向攻击者指定的恶意文件。

publicclassExtension1{publicstaticvoidDo(string[] args){RegistryKey key = Registry.ClassesRoot.CreateSubKey("txtfile\shell\open\command");// 修改默认打开命令，将其指向恶意可执行文件        key.SetValue("", args[1]);        key.Close();        Console.WriteLine("[*] Extension Hijacking Persistence created");}}

然而，攻击者可以修改这些默认打开方式，使其指向恶意可执行文件，从而在用户打开特定文件时执行恶意代码。

3.2 屏保劫持

Windows 屏保（Screensaver）机制可以让用户在系统空闲一段时间后自动运行指定的 .scr 文件。该功能可以通过注册表项 HKEY_CURRENT_USERControl PanelDesktop 进行配置。以下代码实现了将屏保程序替换为攻击者指定的可执行文件，如下图所示。

综上，本文介绍了扩展名劫持和屏保劫持这两种 Windows 持久化方法，并分析了相应的代码实现和防御措施。这两种技术虽然简单，但在实际攻击中极具隐蔽性，容易被攻击者用来维持对受害系统的长期控制。想要了解完整或者更多的内网安全方向的文章，可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

欢迎加入.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营，引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足，为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高，那么可以订阅这个专栏。

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过2） .NET 本地权限提升3） .NET 内网信息收集4） .NET 内网代理通道5） .NET 内网横向移动6） .NET 目标权限维持7） .NET 数据传输外发8） .NET 目标痕迹清理

原价899，现在限时只需59元，永久买断！目前已有280+位朋友抢先预定，我们会长期更新，初步计划保持每周更新1-2篇新内容，对.NET内网安全的朋友们请尽快订阅该报刊！

每增加五十人涨价10元，抓紧订阅，超值！订阅后请关注公众号：dotNet安全矩阵，发送订单截图和您的微信号，邀请您加入专属交流群。感兴趣的朋友，可以点击链接：https://xiaobot.net/p/dotNetAttack，或者扫描下方海报微信二维码加入即可，订阅后小报童定时会将最新内容通过微信推送给您。