潜伏与启动-1-NETSH

利用NETSH的扩展：

 

OK，这东西可以增加一个扩展DLL,然后当然就是关心导出函数格式：

DWORD WINAPI InitHelperDll(DWORD dwNetshVersion,PVOID pReserved);

写好dll之后（记得是把上面函数导出），然后cmd 输入NETSH 进入之后输入增加扩展

add helper  XXXX.dll  【这个地方注意，32位系统加载32位dll,64加载64】

直接cmd里启动netsh就会自动加载dll并且调用上面导出函数。

OK这样就加载成功了。之后只要把这个netsh注册到启动入口比如计划任务什么的就行了。注册到计划任务可以达到提权（system）并且定时启动的目的。

如果是要删除的话，就直接

Cmd 里进入netsh

delete helper  XXXX.dll就行了，或者直接进入下面注册表里把记录删了也行

HKEK_LOCAL_MACHINE\SOFTWARE\Microsoft\Netsh

    还有提示下，刚刚我cmd里添加删除dll的时候发现本机的杀软报毒了。然后尝试了下直接自己改注册表，发现直接操作注册表没事。然后就是注册成计划任务或者其他，提权并且启动存活到目标机器上了。简单不说了。