本来发到土司的,想着转到博客里备份下,等win11普及后再研究下别的方法
事情起因还得从今天准备给记事本做绑马开始说起。我熟练的打开反键记事本准备打开文件夹,拿出来做绑马。
反键一敲,傻了,微软你把我“打开文件位置”吃了?
打开应用详情看看,好家伙,巨硬来了一手狸猫换太子。给我把应用换成商城版了
还不知如此,我最喜欢的计算器也给我换了。
我转过头一想,那我绑马用处也不大啊。幸幸苦苦传上去,默认不给你用windows目录下的记事本打开。
你再看看商店版存储位置,给你按版本号存储,到时候巨硬一更新直接回到解放前。
还得想办法更改默认应用,先卸载试试。卸载后直接打开老版本记事本了,而且连图标都改了
而且这还有提示让你升级,用户一升级就又回到商店版本的notepad了。再者直接替换原版的notepad大多杀毒软件会校验文件,绑马也是被杀的命运。
梳理下思路,首先不能让用户使用商店版的notepad,其次,又不能替换/windows下的notepad文件。再者,也不能让用户使用原版的notepad,因为会引导用户升级。接下来通过映像劫持来打开我绑好马的软件。
接下来要做什么就很清晰了,我需要一个不会提示升级的notepad。
那么哪里去找呢,我想到win7虚拟机拖一个出来,可能有人会问直接为什么不复制出来一个呢,实际上我也试过,但是复制出来的双击打不开,而且win10里也是这样。
但在win7中,拖出来的notepad可以直接双击打开,结果打脸,复制在win7桌面上能打开的notepad,在win10和win11中都打不开。
没辙,我选择找第三方的notepad,但多数外观差异太大。最后在一个网站里找到了这个
看起来还行,下载下来可以直接打开,再给它换个图标
nice了
这时候就可以用上远古技术——映像劫持了
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
otepad.exe" /v Debugger /t REG_SZ /d "d:
otepad.exe " /f
这里再附上商店版notepad的ps卸载命令
[code="cpp"]
Get-AppxPackage *Microsoft.WindowsNotepad* | Remove-AppxPackage
[/code]
映像劫持我就不讲了,就是指定执行某程序时劫持到执行自己的木马程序,具体百度。
顺带分享个烂大街的后门知识,除了安全厂商的软件外,其他软件通过覆盖update可以很好做后门。