它简单、直观、轻量级且无依赖性。

.reg 有效负载的主要目的是使用各种技术（包括与 UAC 绕过技术的结合）添加持久性。它还能够搞乱其他一些注册表设置。

尽管 .reg 文件基本上是文本文件，但事实证明向其中添加二进制数据不会破坏它，并且 .reg 文件仍会被正确解析。这一事实使您可以用大量乱码数据混淆 .reg 文件，并让用户相信该文件是不可读的二进制文件。因此，向 RegStrike 提供要添加的混淆量，它就可以满足您的要求。

人们希望将 .reg 用作有效负载的主要原因之一是因为 AV 产品的检测率非常低，而且显然混淆甚至进一步降低了检测率。

例如，这里有一个 .reg 负载示例，它使用Silent Process Exit技术进行持久化：

它对 VT 的检测非常低：

会使它归零😈

RegStrike 可以轻松扩展，以获得攻击者想要添加的更多持久性方法/注册表值。

项目地址：https://github.com/itaymigdal/RegStrike