最后更新于3年前
这是一种比较无脑,但是某种程度上还挺好用的方法。
简单的说就是替换现有的自启动文件,最好的例子大概就是Onedrive了。不需要管理员权限就可以结束进程,并且目录可写,Win10默认会自启动。
简单利用示例:
taskkill /f /im OneDrive.exe copy c:\Temp\qwqdanchun.exe %LocalAppData%\Microsoft\OneDrive\OneDrive.exe
另外,也可以修改浏览器等的快捷方式来实现被动启动的效果。具体实现将在后文LNK文件格式处详细讨论。
一例修改现有应用文件的攻击: