क्योंकि HKCU के मान उपयोगकर्ताओं द्वारा संशोधित किए जा सकते हैं, COM हाइजैकिंग को स्थायी तंत्रों के रूप में उपयोग किया जा सकता है। procmon का उपयोग करके खोजना आसान है कि कौन से COM रजिस्ट्री खोजे जा सकते हैं जो मौजूद नहीं हैं जिन्हें एक हमलावर बना सकता है ताकि स्थायी रहें। फ़िल्टर:
RegOpenKey कार्रवाई।
जहां परिणामनाम नहीं मिला है।
और पथInprocServer32 से समाप्त होता है।
एक बार जब आपने तय कर लिया है कि कौन सा अस्तित्व में न होने वाला COM अनुकरण करना है, तो निम्नलिखित कमांडों को निष्पादित करें। सावधान रहें अगर आप उस COM का अनुकरण करने का निर्णय करते हैं जो हर कुछ सेकंड में लोड होता है क्योंकि यह अत्यधिक हो सकता है।
Windows Tasks कस्टम ट्रिगर्स का उपयोग COM objects को बुलाने के लिए करते हैं और क्योंकि वे टास्क स्केज्यूलर के माध्यम से निष्पादित होते हैं, इसे पूर्वानुमान करना आसान होता है कि वे कब ट्रिगर होंगे।
आउटपुट की जांच करके आप एक चुन सकते हैं जो हर बार एक उपयोगकर्ता लॉग इन करता है उदाहरण के लिए।
अब CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} की खोज HKEY_CLASSES_ROOT\CLSID और HKLM और HKCU में करते हैं, आपको सामान्यत: पाता होगा कि मान HKCU में मौजूद नहीं है।
# Exists in HKCR\CLSID\Get-ChildItem-Path"Registry::HKCR\CLSID\{1936ED8A-BD93-3213-E325-F38D112938EF}"NameProperty------------InprocServer32 (default) : C:\Windows\system32\some.dllThreadingModel:Both# Exists in HKLMGet-Item-Path"HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"|ft-AutoSizeNameProperty------------{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler# Doesn't exist in HKCUPSC:\> Get-Item-Path"HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.
तो, आप बस HKCU एंट्री बना सकते हैं और हर बार जब उपयोगकर्ता लॉग इन करता है, आपका बैकडोर चालू हो जाएगा।