<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1117

          術語表: /attack/glossary

          Regsvr32

          Regsvr32.exe 是一個命令行程序,用于在 Windows 系統上注冊和取消注冊對象鏈接和嵌入控件,包括動態鏈接庫 (DLLs)。 Regsvr32.exe 可用于執行任意二進制文件。

          攻擊者可以利用此功能來代理代碼的執行,以避免觸發安全工具,由于 Windows 使用 regsvr32.exe 進行正常操作時的白名單或誤報,這些工具可能無法監視 regsvr32.exe 進程的執行和加載的模塊。 Regsvr32.exe 也是 Microsoft 簽名的二進制文件。 Regsvr32.exe 還可以利用加載 COM scriptlet 以在用戶權限下執行 DLL 的功能來繞過進程白名單。 由于 regsvr32.exe 支持網絡和代理,因此可以通過在調用期間將統一資源定位符 (URL) 作為參數傳遞到外部 Web 服務器上的文件來加載腳本。 此方法不對注冊表做任何更改,因為 COM 對象實際未注冊,僅執行。 該技術的變體通常被稱為“Squiblydoo”攻擊,并已用于針對政府的活動中。

          還可以利用 Regsvr32.exe 來注冊用于通過組件對象模型劫持(Component Object Model Hijacking)建立持久性的 COM 對象。

          緩解

          Microsoft的增強緩解經驗工具包 (EMET) 的攻擊表面減少 (ASR) 功能可以用來阻止利用 regsvr32.exe 繞過白名單。

          檢測

          使用進程監控來監控 regsvr32.exe 的執行和參數。 將 regsvr32.exe 最近的調用與之前的已知良好參數和被加載的文件進行比較,以確定異常和潛在的攻擊活動。 regsvr32.exe 調用前后使用的命令參數也可能有助于確定執行的二進制文件的來源和目的。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看