.NET内网实战：通过扩展名劫持和屏保劫持技术实现注册表权限维持

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧。

02基本介绍

本文内容部分节选自小报童《.NET 通过扩展名劫持和屏保劫持技术实现权限维持》，目前已有300+位朋友抢先预定，我们会长期更新！

03原理分析

在 Windows 操作系统中，攻击者通常会利用各种持久化手段，确保恶意代码或者程序能够在系统重启后继续执行。本文将详细分析扩展名劫持 和 屏保劫持这两种持久化技术的原理、代码实现及其防御方法。

3.1 扩展名劫持

扩展名劫持（Extension Hijacking）是一种通过修改 Windows 注册表，使特定文件类型在被打开时执行攻击者指定的命令的技术。Windows 通过注册表关联不同的文件扩展名与其默认打开方式，比如.txt 文件默认由记事本（Notepad.exe） 打开的，如下图所示

以下代码实现了修改 .txt 文件的默认打开方式，将其指向攻击者指定的恶意文件。

public class Extension1
{
    public static void Do(s