¿Cómo ganaría una puerta trasera la persistencia?

Solo necesita una forma de iniciar el proceso de manera confiable después de que la máquina se haya iniciado.

Esto puede ir desde -

• pidiendo a Windows u otro proceso que lo inicie en el inicio (servicio, aplicación de inicio, etc.)
• Reemplazar o parchear un ejecutable o una biblioteca que se sabe que se llama en el inicio o poco después. Esto puede incluir controladores.
• Secuestro de una acción de usuario común, por ejemplo, modificar los accesos directos de Google Chrome para iniciar su propio proceso (que a su vez inicia la aplicación original para que el usuario no se dé cuenta).
• Reemplace / patch bios / firmware ejecutándose en un dispositivo de hardware.
• Use un bootkit / hipervisor para iniciar su código antes del sistema operativo.
• Ataque basado en hardware físico: algo así como un módulo de RAM malicioso que inyecta código.

También puede hacer cosas como modificar el firewall y la configuración del servicio para permitir la reinfección de forma remota.

La persistencia es siempre el punto central de cualquier infección para que sea simple, además del uso del Registro de Windows (ya que parece que solo se habla de objetivos de Windows), las aplicaciones malwares pueden usar estas técnicas para persistir:

• Acceso directo / Secuestro del navegador
• Secuestro de orden de búsqueda de DLL
• Kit de arranque
• Secuestro COM ...

Y la lista puede crecer hasta el infinito, todo se trata de lo inteligentes que son los desarrolladores :)

Puedes tener una idea de las muchas formas diferentes de iniciar automáticamente algo al revisar las pestañas que tiene la utilidad gratuita Autoruns (de SysInternals / Microsoft, disponible en enlace )

vea a continuación el número de pestañas en esta captura de pantalla de la página de documentos de MSDN, puedo contar 18 pestañas aparte de la de "Todo"