bypass uac的检测分析(不定期更新)

近期公司内部在做bypass uac的攻击检测,我也在这里记录一下分析检测的过程。

1.eventvwr bypass_uac

eventvwr 在启动的时候会去查询该注册表中的数据\HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
如果这个注册表存在,则按照其中设定的值进行调用相关程序。

如果不存在则会去寻找\HKEY_CLASSES_ROOT\mscfile\shell\open\command,按照其中的值去启动。


测试一下,我们去创建一下这个注册表\HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command

总结

要监控eventvwr bypass 只需监控\HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command 这个注册表即可。

你可能感兴趣的:(bypass uac的检测分析(不定期更新))