申明：该公众号绝大多数文章来源于作者日常学习心得，也是有一小部分文章是历经原作者受权和别的微信公众号授权管理转截，没经受权，禁止转截，如需转截，联络开白。

切勿利用文章内的有关技术性从业不法检测，如因而造成的一切不良影响与文章作者和本微信公众号不相干。

前几日看玩得Windows电脑蓝屏系统漏洞都玩嗨了，那时候闲下来无趣也玩儿了下，結果差点儿将我固态盘都给整没有了，确实是太菜了^_^。

微信是在安裝的，在玩的全过程中发觉我这个手机微信还存有着另一个难题，便是点击“查验升级”的时候会弹出来个cmd.exe，忘记了是之前检测留有的還是被某一巨头给“搞”了，先不管了，讨论一下咋回事吧！！！

大家先应用火绒剑看来一下这一手机微信的WeChatStore.exe进程在点击“查验升级”时建立的cmd.exe子进程，不知道为毛ProcessHacker和ProcessExplorer都看不见建立子进程全过程。

然后大家再应用Procmon64.exe专用工具设定个进程过虑标准看看WeChatStore.exe都实行了什么实际操作？

下面的图中能够见到它在下列注册表文件里实行了一个，因此 在微信点击“查验升级”的时候会弹出来cmd.exe。

HKCRAppX82a6gwre4fdg3bt635tn5ctqjf8米sdd2shellopencommand

这时候大家就可以立即根据寻找的这一注册微信表部位来开展管理权限保持，将改动为MSF Payload或是别的木马程序。

这儿我只是为了更好地演试，因此 立即用的MSF Payload，脱壳破解和安全防范等难题没有这节探讨范畴内。

HKCRAppX82a6gwre4fdg3bt635tn5ctqjf8米sdd2shellopencommand