在投递双后缀名的诱饵阶段可以使用操纵注册表的方式来保证目标机器上的后缀名显示功能是处于关闭状态的。
0x01 对应注册表
文件名后缀的注册表控制位置为
1 | HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ |
在这个项中有个键值为HideFileExt
,当其值为0时代表显示文件名后缀,为1时不显示文件名后缀。
0x02 读取与修改
读取HideFileExt
值
1 | $subkey= "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"; |
将值修改为1
隐藏相应的文件名后缀
1 | $subkey= "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"; |